华为 职业 认证 通过 者 权益 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hffp;//leQming.huawei.com/cn) 享有 如 下 特权 : 
。 1、 华 为 E-learning 课程 学 习 
o 内容: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “email 地 址 ”到 LeQ/ming@huawei.com 有 内 坊 权 鹿 。 
华为 培训 教材 下 载 
o 内容: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企 业 网 络 、 存 储 、 安全 等 诸多 si 
0 方式: 登录 华为 在 缮 学 习 度 站 ， 进 入 “华为 姐 加 -> 面 要 坟 加 ， 在 具体 课程 页 面 即 可 下 载 教 树 。 
华为 在 线 公 开课 (LYVC) 优 先 参与 
内 容 : 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 邢 班 大 数 有 限 
方式 : 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.huawei.com/learning/NavigationAction!IcreateNavi#ravilid]=_16 
学 习 工 具 eNSP 
o EeNSP /Enterorise Network Simulation Platformj, 是 由 华为 提供 的 免费 的 妨 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真 器 设备 实景 ， 同 时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考 试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_(〈hitp://suppor,huawei.conYyecemmunify/bbs/lisft 2247.html ) 
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目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 了 解 信息 安全 的 基础 知识 ; 
o 了 解 内 容 安 全 产生 的 背景 ; 
0 了 解 内 容 安 全 主要 技术 。 
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@ 目录 


， 信息 安全 基础 知识 
1.1 信 息 安全 概念 
1.2 网 络 安全 体系 


刁 已 时 


月 中 


全 技术 简介 
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言 胃 安全 概念 


。 什么 是 信息 ? 
0 一 般 意义 : 信息 是 指 事 物 运 动 的 状态 和 方式 ， 一 种 属性 。 
0 ISO/IEC-IT 安 全 管理 指南 : EE I Op 


这 些 数据 特定 的 含义 。 
。 信息 是 无 形 的， 可 以 通过 各 种 媒介 存储 和 传输 。 
。 | 上 领域 :信息 是 一 种 资产 ， 包 括 信 息 本 身 〈 数 据 、 文 件 儿 过 机 等 ) 及 
言 轧 存 储 和 传输 的 介质 (计算 机 、 网 络 及 设备 等 ) 。 


WW HuAwel 
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。 信息 就 是 对 客观 事物 的 反映 ， 从 本 质 上 看 信息 是 对 社会 、 自 然 界 的 事物 特征 、 现 象 、 本 
质 及 规律 的 描述 ; 

。 信息 所 描述 的 内 容 是 通过 某 种 载体 如 符号 声音、 文字、 图形、 图 象 等 来 表征 和 传播 的 ; 

。 信息 处 理 主要 包括 : 信息 的 收集 = 信息 的 输入 、 信 息 的 加 工 、 信 息 的 输出 、 信 息 的 存储 
和 传输 。 


信息 安全 


。 信息 安全 是 对 信息 和 信息 系统 进行 保护 ， 防 止 未 授权 的 访问 、 使 用 、 
泄露 、 中 断 、 修 改 、 和 破坏 并 以 此 提供 保密 性 、 完 整 性 和 可 用 性 。 
。 信息 安全 主要 包括 几 个 方面 : 
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。 信息 安全 包括 以 下 几 个 方面 : 

采 窗 性 : Confidentiqlity-- 确 保 信息 只 能 由 那些 被 授权 使 用 的 人 获取 ; 
0 完整 性 : Integrity-- 保 护 信 息 及 其 处 理 方法 的 准确 性 和 完整 性 ; 

0 可 用 性 : Availability-- 确 保 馈 授权 使 用 人 在 需要 时 可 以 获取 信息 和 使 用 相关 的 资产 ; 


oO 可 控 性 : Controllabilty 写 对 信息 和 信息 系统 实施 安全 监控 管理 ， 防 止 非法 利用 信息 
和 信息 系统 ; 


0 不 可 抵赖 性 : Non-Repudiafion-- 防 止 信息 产 用 户 对 他 发 送 的 信息 事后 不 承认 ,或 者 
用 尸 接收 到 信息 之 后 不 认 帐 。 
言 息 安全 涉及 到 信和 忌 的 保密 性 、 完 整 性、 可 用 性 、 可 探 性 和 不 可 抵赖 性 ， 总 体 来 看 ,就 
是 要 保障 信息 的 有 效 性 。 


安全 需求 的 层次 


数据 机 密 性 、 完 整 性 、 可 用 性 、 不 可 抵赖 性 等 


针对 单个 网 络 节点 访问 控制 、 安 全 审计 、 安 全 恢复 等 


网 内 的 访问 控制 、 安 全 审计 、 安 全 恢复 等 


主要 是 内 外 网 安全 隔离 /访问 控制 


网 络 环境 建设 、 网 络 设备 防护 


。 例如 司法 取证 
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安全 需求 的 层次 可 以 分 为 法 规 顺 从 ， 这 是 基于 法 律 层面 的 ， 还 有 物理 安全 、 接 入 安全 、 
传输 安全 及 存储 安全 和 使 用 安全 等 等 。 

依据 不 同 的 安全 考虑 需求 可 能 划分 的 层次 不 一 样 。 这 里 主要 从 网 络 安全 的 角度 侧重 于 
物理 安全 、 接 入 安全 和 内 部 及 节操 安 全 。 业 务 信 息 的 安全 通过 使 用 相关 的 技术 手段 来 提高 
安全 性 。 


安全 能 力 


采用 可 能 采取 

的 手段 保障 信 检查 系统 可 能 存 
息 的 保密 性 、 在 的 脆弱 性 
完整 性 、 可 用 

性 、 可 探 性 和 

责任 性 


对 危及 安全 的 事 

件 、 行 为 、 过 程 
系统 遭 到 破坏 ， 及 有 时 作出 啊 应 处 
尽快 恢复 系统 理 $》 杜绝 危害 的 
功能 ， 尽 早 提 进一步 蔓延 扩大 ， 
供 正常 的 服务 力求 系统 疝 能 提 

供 正 常服 务 
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安全 因素 都 涉及 到 人 。 在 现在 的 安全 因素 中 多 安 全 的 管理 能 力 显得 特别 重要 ， 因 为 信 
息 最 终 都 是 由 人 去 处 理 ， 对 能 接触 信息 的 安全 管理 不 严 的 话 ， 其 它 的 任何 的 技术 都 是 白 
若 。 在 安全 管理 政策 及 策略 下 ， 再 通过 相关 的 技术 手段 来 提高 安全 的 能 力 。 


。 安全 能 力 可 以 分 为 四 种 : 
oo Protection (防护 ); 
o Detection (检测 ); 
0 Response[( 啊 应 ): 
0 Recovery (恢复 }。 
目前 比较 普遍 的 讲 的 安全 模型 是 PDRR 安 全 模型 。 


如 体 [把 握 安 全 平衡 点 


安全 功能 强调 和 人 强调 安全 功能 的 
多 了 , 易 用 性 人 实现 ， 系 统 运 维 ， 


就 会 下 降 。 b 成 本 会 提高 
人 人 
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安全 、 易 用 与 成 本 之 间 的 天 系 是 一 个 三 角 的 关系 ， 要 取得 一 个 很 好 的 落 足 点 不 容易 。 
安全 的 功能 强调 多 了 ， 系 统 的 易 用 性 加 会 下 障 ; ani 维护 安全 系统 的 成 本 
束 上 去 了 ， 如 果 降低 相关 的 安全 要 求 , 鲫 允 得 面临 因 可 能 爆发 的 安全 问题 而 引发 的 其 它 成 
本 。 


安全 是 一 项 耗费 时 间 ， 又 耗费 资产 的 工作 ， 必 须根 据 不 同 的 产品 或 项 目 米 把 握 其 与 易 
用 、 成 本 之 间 的 平衡 关系 。 


。 产品 在 安全 上 考虑 的 越 多 广 部 和 勾 就 很 可 能 导致 其 性 能 的 下 降 ; 
。 安全 上 考虑 的 越 多 /那么 其 安装 维护 的 复杂 度 会 增加 、 操 作 使 用 的 便利 性 会 减少 


。 产品 在 安全 上 考虑 的 越 多 ， 那 么 其 可 靠 性 往往 会 得 到 增加 ， 一 方面 是 减少 了 各 类 黑客 攻 
击 ， 二 是 产品 自身 的 可 靠 性 保障 会 得 到 更 多 的 考虑 ; 


。 安全 性 提升 意味 着 产品 研发 成 本 提高 、 产 品 开 发 周期 增长 ， 前 期 投入 和 后 期 维护 成 本 也 
会 增加 ， 这 些 成 本 最 终 都 转嫁 到 用 户 成 本 上 


。 由 于 安全 性 得 到 增强 ， 安 全 事故 成 本 会 减少 ， 给 用 户 造 成 的 经 济 、 信 和 誉 损失 会 减少 。 


@ 目录 


信息 安全 基础 知识 
1.1 信 息 安 全 概念 
1.2 网 络 安全 体系 


刁 已 时 


月 页 


文 术 简 介 
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网 络 安全 体系 


。 网 络 安全 体系 繁多 ， 这 里 基于 TCP/IP 栈 层次 


DNS / 
P 


WW HuAwel 





。 网 络 安全 体系 繁多 ， 这 里 就 依据 TCP/IP 的 协 说 楼 层次 关系 来 进行 分 析 : 
。 了 解 网 络 当中 常见 的 安全 风险 并 掌握 降低 风险 的 措施 是 很 有 必要 的 : 
。 TCP/IP 的 层次 分 为 两 大 块 ， 并 另外 加 站 一 层 软件 系统 ， 可 以 从 三 个 层面 来 进行 分 析 。 








TCP/IP 协 议 栈 与 第 见 安全 风险 


应 用 层 、 更 
四 缓冲 区 溢出 ， 漏 洞 ， 病 毒 、 木 马 
、CC 攻 击 等 
传输 层 TE 
TCPSYNFlood, TCPFdoeS 


Mac 其 骗 ，Mdqac 泛 洪 ， 
ARP 欺 骗 等 


物理 层 
设备 破坏 ， 线 路 侦 听 
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路 由 攻击 ，IP 欺 骗 ， 
泛 洪 攻击 ， 报 文 分 片 等 





络 上 的 各 种 攻击 类 型 很 多 ， 攻 击 的 目的 了 世 不 同 ， 有 的 是 为 了 破坏 中 断 服务 ， 有 的 是 


haa 而 和正 。 


基于 物理 层 的 攻击 ; 

基于 链 路 层 的 攻击 ， 在 内 网 上 基 手 链 路 层 的 攻击 较 党 见 
网 络 层 的 攻击 包括 一 些 泛 洪 攻击 、 世 os 攻击 等 ; 
传输 层 包 括 两 大 块 ， 利 用 TEP 的 攻击 和 利用 UDP 的 攻击 ; 


应 用 层 含 有 很 多 目前 各 大 网 站 所 天 注 的 攻击 类 型 ， 包 括 缓冲 区 洪 出 ， 操 作 系 统 或 软件 系 
统 漏 洞 攻 击 ， 以 及 病毒 攻击 ， 木 马 攻击 等 寺 。 
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安全 原 胁 分 析 


。 网 络 威胁 
o 黑客 入 侵 、 拒 绝 服务 攻击 、 病 毒 及 恶意 软件 、 个 人 安全 意识 薄弱 


。 网 络 威胁 的 现状 
了 


和 不 法 分 子 利 用 ， 成 为 他 们 获取 利益 的 工具 。 因 此 ， 传 统 的 电脑 病毒 等 
网 络 威 胁 ， 正 在 同 由 利益 驱动 的 、 全 面 的 网 络 威胁 发 展 变化 。 
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在 目前 出 现 的 各 种 安全 威胁 当中 ， 恶 意 程 风 病毒 与 蠕虫 、Bot、Rootkit、 特 洛 依 森 
马 与 后 门 程序 、 弱 点 攻击 程序 以 及 行动 装置 恶意 程序 ) 类 别 占有 很 高 的 比例 ， 灰 色 软 件 
(间谍 /广告 软件 ) 的 影响 也 逐渐 扩大 % 而 与 犯罪 程序 有 关 的 安全 威胁 已 经 成 为 威胁 网 络 
安全 的 重要 因素 。 

目前 用 户 面 临 的 不 再 是 传统 的 病毒 放 击 ，“ 网 络 威胁 ”经 常 是 融合 了 病毒 、 黑 客 攻击 、 
木马 、 僵 尸 、 间 谍 等 危害 等 于 扫射 的 混合 体 ， 因 此 单 靠 以 往 的 防毒 或 者 防 黑 技术 往往 难以 
抵御 。 


兰 各 入 侵 


。 网 络 黑客 、 企 业内 部 恶意 员工 利用 系统 及 软件 的 漏洞 ， 入 侵 服 务 器 
严重 威胁 企业 关键 业务 数据 的 安全 。 


4 


了 
人 


fe 
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服务 器 漏洞 给 企业 造成 严重 的 安全 威胁 : 
企业 内 网 中 许多 应 用 软件 可 能 存在 漏 辣 % 
互联 网 使 应 用 软件 的 漏洞 迅速 传播 
需 虫 利用 应 用 软件 漏洞 大 肆 传 播 ; 消耗 网 络 市 宽 ， 和 破坏 重要 数据 ; 
黑客 、 恶 意 员 工 利用 漏洞 攻击 或 入 侵 企业 服务 器 ， 业 务 机 密 被 售 改 、 破 坏 和 偷 穷 。 


拒绝 服务 攻击 威胁 


x “i 
注 僵尸 网 络 
而 
僵尸 网 络 
。 以 经 济 利益 为 目的 的 DDOS 攻 击 不 断 威 胁 着 企业 正常 运营 ， 且 攻击 
造成 的 危害 越 来 越 严重 。 


正常 网 络 用 户 
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。 DDOS 攻 击 威 胁 : 
0 以 经 济 利益 为 目标 的 全 球 黑 色 产 业 链 的 形成 ， 网 络 上 存在 大 量 僵尸 网 络 ; 
0 不 法 分 子 的 襄 诈 勒索 ， 同 行 的 屎 莫 苋 争 等 都 有 可 能 导致 企业 遭受 DDoS 攻 击 ; 


0 遭受 DDoS 攻 击 时 ， 网 络 带 宽 税 大 量 占 用 ， 网 络 陷 于 瘫痪 ;， 受 攻击 服务 器 资源 被 
耗 尽 无 法 啊 应 正常 用 尺 请 求 咏 严 重 时 会 造成 系统 死机 ， 企 业 业 务 无 法 正常 运行 。 


病毒 及 普 意 软件 安全 把 胁 


。 随 着 企业 业务 拓展， 更 多 业务 应 用 依赖 于 IT 信息 系统 来 完成 。 在 业 
务 运行 过 程 中 ， 不 断面 临 着 病毒 、 木 马 、 间 谍 软 件 等 的 严重 威胁 。 


二 > 


数据 服务 器 
间谍 软件 3 4 
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浏览 网 页 、 邮 件 传输 是 病毒 、 木 马 、 间 谍 软 件 进入 内 网 的 主要 途径 ; 
病毒 能 够 破坏 计算 机 系统 ， 和 售 改 、 损 二 业务 数据 ; 


木马 使 黑客 不 仅 可 以 穷 取 计算 机 上 的 重要 信息 ， 还 可 以 对 内 网 计算 机 破坏 ;间谍 软件 搜 
、 使 用 、 并 散播 企业 员工 的 敏感 信息 ， 严 重 干扰 企业 的 正常 业务 ; 


果 面 型 反 病毒 软件 难于 从 全 局 :上 防 驻 病毒 泛滥 。 


个 人 安全 和 意 黄 溥 蚤 市 来 的 克 胁 


P2P、IM 滥 用 、 访 
问 非法 网 站 等 行为 
给 企业 带宽 、 运 营 


效率 带 来 严重 影响 。 


1 0 


72 
> Neee 


eo。 
人 


丘 人 这 网 而 
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P2P、|IM 滥 用 给 企业 带宽 、 运 营 效 率 市 来 严重 影响 。 员 工 不 受 控 Web 访 问 可 能 会 : 

D 被 不 安全 的 链接 或 者 恶意 下 载 植 入 代码 ， 使 机 构成 为 僵尸 网 络 或 者 感染 病毒 ; 
0 容易 被 含有 欺骗 信息 的 钓鱼 网 站 所 欺骗， 泄露 个 人 银行 帐号 、 客 码 等 机 密 信息 ; 
0 被 娱乐 性 内 容 所 吸引 ; 


oO 网 页 中 可 能 种 有 与 法 律 相 抵触 的 内 容 (如 色情 、 暴 力 ) ， 给 企业 融 来 一 系列 法 律 
风险 。 
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安全 发 展 趋势 


。 安全 威胁 正 由 单纯 的 网 络 威 胁 向 应 用 与 数据 安全 威胁 演进 
。 安全 问题 市 来 的 影响 随 着 应 用 的 推广 变 得 更 加 广泛 和 难以 控制 





1996 2000 2004 2009 


2 


交换 路 由 防火 墙 。 VPN IPS AV 二 你 化 
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攻击 从 网 络 层 向 应 用 及 业务 层 延 伸 ， 要 求 以 网 络 为 核心 的 TIM 技 术 和 以 终端 为 核心 的 
SCM 技 术 在 网 络 上 进行 融合 防范 ; 

对 资源 及 内 容 的 优化 管理 成 为 最 关心 的 主题 一 对 SA 的 需求 ， 以 SA 技术 为 核心 的 业务 应 
用 将 成 为 重点 ; 

客户 从 设备 需求 到 服务 需求 的 转化 ，SCTM/SA 等 产品 的 应 用 要 求 持续 提供 升级 及 响应 
服务 ， 使 得 商业 模式 发 生 演化 ; 

从 网 络 安全 向 安全 网 络 转 化 芯片 、 软 件 技术 的 发 展 使 得 网 络 产品 和 安全 产品 的 融合 
成 为 可 能 ， 广 域 网 安全 、 多 合 网 关 设 备 集中 管理 、TCO 等 需求 必 将 驱使 路 由 器 与 安全 产品 
融合 ， 建 设 安 全 的 网 络 成 为 基本 要 求 。 


病毒 的 发 展 超 势 


。 病毒 与 黑客 程序 相 结合 
o 随 着 网 络 业 务 的 普及 和 互动 的 增多 ， 病 毒 与 黑客 程序 (木马 病毒 ) 结合 
以 后 的 危害 更 为 严重 。 
。 旺 虫 病毒 更 加 泛滥 ， 木 马 、 人 和 僵尸 已 成 为 主流 
。 病毒 破坏 性 更 大 
o 计算 机 病毒 不 再 仅仅 以 侵占 和 破坏 单机 的 资料 为 目的 
o 混合 型 病毒 的 传播 速度 非常 快 ， 其 造成 的 破坏 程度 也 要 上 线 以 前 的 计算 机 
病毒 所 造成 的 破坏 大 得 多 。 
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。 当今 的 网 络 时 代 ， 病 毒 的 发 展 更 呈现 出 以 下 趋势 : 


p 病毒 与 黑客 程序 相 结 合 ， 随 着 网络 业务 的 普及 和 互动 的 增多 ， 病 毒 与 黑客 程序 
(木马 病毒 ) 结合 以 后 的 危害 和 为 壮 重 。 


oO 蠕虫 病毒 更 加 泛滥 ， 木 马 、 和 僵尸 已 成 为 主流 
0 病毒 仆 坏 性 更 大 


计算 机 病毒 不 再 仅仅 以 侵 告 和 玻 坏 单机 的 资料 为 目的 。 木 马 病毒 的 传播 使 得 病毒 在 发 
作 的 时 候 有 可 能 自动 联络 策 等 的 创造 者 (如 爱 虫 病毒 ) ， 或 者 采取 DoS (拒绝 服务 ) 的 攻 
击 (如 红色 代码 病毒 ) 一 方面 可 能 会 导致 本 机 机 密 资料 的 泄漏 ， 另 一 方面 会 导致 一 些 网 
络 服务 的 中 止 。 而 蠕 得 病毒 则 会 抢占 有 限 的 网 络 资源 ， 造 成 网 络 堵塞 (如 Nimda 病 毒 ) 。 
如 有 可 能 ， 还 会 破坏 本 地 的 资料 (如 针对 911 了 恐怖 事件 的 Vote 病 毒 )。 

具备 这 些 特征 的 病毒 被 称 为 混合 型 病毒 ， 混 合 型 病毒 的 传播 速度 非常 快 ， 其 造成 的 破 
坏 程 度 也 要 比 以 前 的 计算 机 病毒 所 造成 的 破坏 大 得 多 。 混 合 型 病毒 的 出 现 使 人 们 意识 到 有 
必要 设计 一 个 有 效 的 保护 战略 ， 而 不 是 一 个 单独 的 产品 来 对 病毒 进行 防护 。 


网 络 攻击 的 靳 趋势 


。 攻击 过 程 的 目 动 化 与 攻击 工具 的 快速 更 新 
扫描 潜在 的 受害 者 
入 侵 具 有 凋 洞 的 系统 
攻击 扩散 
攻击 工具 的 协同 宫 理 
。 攻击 工具 的 不 断 复杂 化 
o 反 检 测 
0 动态 行为 
o 攻击 工具 的 模块 化 
。 凋 洞 发 现 得 更 快 
。 渗透 防火 墙 
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。 趋势 一 : 攻击 过 程 的 目 动 化 与 攻击 工具 的 快速 更 新 


攻击 工具 已 经 将 对 漏洞 的 入 侵 设 计 成 为 扫 拉 活动 的 一 部 分 ， 这 样 大 大 加 快 了 入 侵 的 速 
度 。2000 年 之 朋 ， 攻 击 工具 需要 一 个 人 来 发 起 其 余 的 攻击 过 程 。 现 在 ， 攻 击 工 具 能 够 自动 
发 起 新 的 攻击 过 程 。 例 如 红色 代码 和 Nimdoa 病 毒 这 些 工具 就 在 18 个 小 时 之 内 传 遍 了 全 球 。 
随 着 分 布 式 攻击 工具 的 产生 ， 攻 击 者 能 够 对 大 量 分 布 在 Internet 之 上 的 攻击 工具 发 起 攻击 。 
现在 ， 攻 击 者 能 够 更 加 有 效 地 发 起 一 个 分 布 式 拒绝 服务 攻击 。 

。 趋势 二 : 攻击 工具 的 不 断 复杂 化 

攻击 工具 的 编写 者 采用 了 贱 以 醒 更 加 先进 的 技术 。 攻 击 工具 的 特征 码 越 来 越 难 以 通过 
分 析 来 发 现 ， 并 且 越 来 越 难 以 通过 基于 特征 码 的 检测 系统 发 现 。 

。 趋势 三 : 漏洞 发 现 得 更 快 

随 肴 发 现 漏 洞 的 工具 的 自动 化 趋势 ， 留 给 用 户 打 补 丁 的 时 间 赵 来 越 短 。 尤 其 是 缓冲 区 
洲 出 类 型 的 漏洞， 其 危害 性 非常 大 而 又 无 处 不 在 ， 是 计算 机 安全 的 最 大 的 威胁 。 在 CERT 和 和 
其 它 国 际 性 网 络 安 全 机 构 的 调查 中 ， 这 种 类 型 的 漏洞 是 对 服务 器 造成 后 果 最 严重 的 。 

。 趋势 四 : 渗透 防火 墙 

我 们 常常 依赖 防火 墙 提 供 一 个 安全 的 主要 边界 保护 ， 但 目前 已 经 存在 一 些 绕 过 典型 防 
火 墙 配置 的 技术 ， 如 IPP (the Internet Printing Protocol) 和 Web DAV (Web-based 
PisfribUfed Authoring and Versioning) ;一些 标榜 是 “防火 墙 适用 ”的 协议 实际 上 设 
计 为 能 够 绕 过 上 典型 防火 墙 的 配置 特定 特征 的 移动 代码 ”( 如 ActiveX 控 件 ，Javq 和 Javq 
Script) 使 得 保护 存在 漏洞 的 系统 以 及 发 现 恶 意 的 软件 更 加 困难 。 


安全 产品 的 发 展 超 势 
。 以 传统 防火 墙 为 载体 ， 各 种 安全 技术 实现 多 维度 的 融合 。 安 全 产品 
发 展 表 现 出 以 下 趋势 : 
高 性 能 、 大 容量 
深度 检测 ， 全 面 过 滤 木 马 、 垃 圾 邮件 、 病 毒 等 等 
支持 IPv6， 适 应 未 来 的 网 络 
集成 IDS/IPS 
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日 益 提高 的 安全 需求 对 信息 安全 产品 提出 了 起 来 越 高 的 要 求 ， 本 文 重点 针对 防火 墙 产 
品 的 主要 发 展 趋势。 
。 模式 转变 

传统 的 防火 墙 通常 都 设置 在 网 络 的 边界 位 置 ， 不 论 是 内 网 与 外 网 的 边界 ， 还 是 内 网 中 
的 不 同 子 网 的 边界 ， 对 数据 流 进行 分 隔 ， 形 成 安全 管理 区 域 。 现 在 越 来 越 多 的 防火 墙 产品 
也 开始 体现 出 一 种 分 布 式 结构 以 分 布 式 为 体系 进行 设计 的 防火 墙 产品 以 网 络 节点 为 保护 
对 象 ， 可 以 最 大 限度 地 覆盖 需要 保护 的 对 象 ， 大 大 提升 安全 防护 强度 。 目 前 较为 先进 的 一 
种 过 滤 方式 是 带 有 状态 检测 功能 的 数据 包 过 滤 ， 其 实 这 已 经 成 为 现 有 防火 墙 产品 的 一 种 主 
流 检测 模式 ， 可 以 预见 六 未 来 的 防火 墙 检测 模式 将 继续 整合 进 更 多 的 范畴 。 
。 功能 扩展 

现在 的 防火 贸 产 马 已 经 呈现 出 一 种 集成 多 种 功能 的 设计 趋势 ， 包 括 VPN、AAA、PKI、 
IPSec 等 附加 功能 ， 其 至 防 病毒 、 入 侵 检 测 这 样 的 主流 功能 ， 都 被 集成 到 防火 墙 产品 中 了 ， 
很 多 时 候 我 科 已 经 无 法 分 辨 这 样 的 产品 到 底 是 以 防火 墙 为 主 ， 还 是 以 某 个 功能 为 主 了 ， 即 
其 已 经 逐渐 向 我 们 普遍 称 之 为 PS (入 侵 防御 系统 ) 的 产品 转化 了 。 防 火 墙 的 管理 功能 一 直 
在 迅猛 发 展 ~ 并 且 不 断 地 提供 一 些 方便 好 用 的 功能 给 管理 员 ， 这 种 趋势 仍 将 继续 ， 更 多 新 
颖 实效 的 管理 功能 会 不 断 地 涌现 出 来 。 
。 性 能 提高 

未 来 的 防火 墙 产品 由 于 在 功能 性 上 的 扩展 ， 以 及 应 用 日 益 丰富 、 流 量 日 益 复杂 所 提出 
的 更 多 性 能 要 求 ， 会 呈现 出 更 强 的 处 理性 能 要 求 。 


实现 内 容 安 全 “全 面体 护 
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华为 公司 的 UyCou00 系 列 安全 产品 融合 了 止 网 行为 管理 、AV 网 天 防 病毒 、IP> 入 侵 防 
御 系 统 、 防 DDOS 攻 击 等 特性 ， 为 更 好 的 解决 来 自 企业 内 部 、 外 部 的 攻击 威胁 提供 了 强 有 
力 的 保障 。 


AV 防 护 的 是 病毒 文件 ,如 邮件 的 附件 ,通过 HTTP 方 式 下 载 的 文件 中 含有 病毒 等 。IPS 防 
护 的 是 病毒 的 一 些 攻 击 行为 ， 如 蠕虫 的 目 我 传播 。 
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内 容 安 全 主要 技术 


AVv 网 关 防 病毒 技术 


IDS/IPS 入 侵 检 
测 防御 技术 


wk 外 
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局 培 圾 邮件 过 滤 技 术 





。 入 侵 检 测 / 防 御 技 术 (IDS/IPS) 


AN 分 析 、 审 计 各 种 数据 和 现象 来 实时 检测 入 侵 
行为 的 过 程 ， 一 种 积极 的 和 动态 的 安全 防御 技术 。 


。 网 关 防 病毒 技术 (AV) 


利用 病毒 库 和 病毒 引擎 技术 4 保 执 网络， 使 其 革 远 离 多 种 动态 威胁 ， 包括 病毒 、 间谍 软 
件 、 蠕 虫 、 木 马 病毒 、 后 门 和 其 它 恶 意 代码 等 。 


。 WEB 过 滤 技 术 
包括 阻止 内 部 用 户 访问 非法 的 网 址 ， 对 网 页 内 的 Java 或 AcfiveX 程 序 进 行 阻 断 ; 恶意 
网 页 检测 、 识 别 等 。 
。 垃圾 邮件 过 滤 技 术 (SPAM) 
通过 对 邮件 服务 系统 的 安全 加 固 和 垃圾 邮件 过 滤 技术 解决 日 益 扩大 的 垃圾 邮件 问题 
。 SA 业务 感知 技术 


通过 对 报 文 的 应 用 层 数 据 进行 内 容 检测 ， 分 析 报 文 或 流 在 IP 和 UDP/TCP 层 以 上 及 各 种 
隧 追 内 部 的 应 用 类 型 。 


入 食 检 测 /防御 技术 


。 入 侵 检 测 (ID，IntrusionDetection) 
。 人 入侵 检测 系统 (IDS，IntrusionDetectionSystem) 
。 入 侵 防 御 系 统 (IPS，IntrusionPreventionSystem) 
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。 入 侵 检 测 (ID，IntrusionDetection) 


通过 监视 各 种 操作 ， 分 析 、 审 计 各 种 数据 和 现象 来 实时 检测 入 侵 行为 的 过 程 ， 它 是 一 
种 积极 的 和 动态 的 安全 防御 技术 。 


入 侵 检 测 的 内 容 涵 孟 了 授权 的 和 非 授权 的 各 种 入 侵 行为 ， 例 如 ， 违 反 安 全 策略 行为、 
冒充 其 他 用 户 、 港 露 系 统 资源 、 有 恶意 行为 、 非 法 访问 ， 以 及 授权 者 滥用 权力 等 。 


。 入 侵 检 测 系 统 (DS，IntrvsionBDetectionsystem) 


用 于 入 侵 检 疯 的 所 有 软 硬 件 系 统 。 这 个 系统 可 以 通过 网 络 和 计算 机 动态 地 搜集 大 量 关 

键 信息 县 资料 ， 并 能 及 时 分 析 和 判断 整个 系统 环境 的 目前 ; 状态 ， 一 旦 发 现 有 违反 安全 策略 的 
行为 或 系统 存在 馈 攻 击 的 浪迹 等 ， 立 即 局 动 有 关 安 全 机 制 进行 应 对 ， 例如， 通过 控制 合 或 
pe 立即 中 止 入 侵 行为 、 关闭 监 个 系统 新 开 网 络 连接 


大 大 
本 o 


。 入 侵 防 御 系 统 . (IPS，IntrusionPreventionSystem) 
发 现 入 侵 行为 时 能 实时 阻 断 的 入 侵 检测 系统 。 


网 关 防 病毒 技术 


恶意 代码 

o 是 一 种 程序 ， 它 通过 把 代码 在 不 被 察觉 的 情况 下 灸 内 到 另 一 段 程序 中 ， 
从 而 达到 破坏 被 感染 电脑 数据 、 运 行 具 有 入 侵 性 或 破坏 性 的 程序 、 2 
做 感 染 电 脑 数据 的 安全 性 和 完整 性 的 目的 。 

病毒 


o 属于 有 恶意 代码 ， 是 附着 于 程序 或 文件 中 的 一 段 计 算 机 代码 ， 以 自我 复制 
为 明确 目的 ， 已 可 能 损坏 硬件 、 软 件 和 信息 。 


病毒 传播 途径 


\ 
人 
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电子 邮件 


oO HTML 正文 可 能 被 艇 入 恶意 脚本 ; 
0 昌 件 附件 携 市 病毒 压 缩 文件 ; 
D 利用 社会 工程 学 进行 伪装 ， 增 大 病毒 传播 机 会 。 


网 络 共 至 


口 病毒 会 搜索 本 地 网 络 中 存在 的 共享 ， 包括 默认 共享 ; 
0 通过 空 口令 或 弱 口 令 猪 测 ， 获得 完全 访问 权限 ， 病毒 自 带 口 令 猿 测 列表 ; 
oO 将 目 身 复制 到 网 络 共享 文件 夹 中 ， 通 第 以 洲 戏 ,CDKEY 等 相关 名 字 命 名 。 
ri 


将 自身 复制 到 P2R 共 享 文件 夹 ， 通 常 以 游戏 ,CDKEY 等 相关 名 子 命 名 !; 
0 ， 通 过 P28 软 御 共 训 给 网 络 用 记 
oO 利用 社会 玉 程 学 进行 伪装 ， 族 使 用 户 下 载 。 
系统 漏洞 


0 py 由 于 操作 系统 固有 的 一 些 设计 缺陷 ,导致 锌 恶意 用 户 通 过 畸形 的 方式 利用 后 
任意 代码 ,这 就 是 系统 漏洞 
D 病毒 往往 利用 系统 漏洞 进入 系统 ,达到 传播 的 目的 。 
其 他 常见 病毒 感染 途径 
0 网 页 感染 ; 
0 与 正常 软件 捆绑 ; 
0 用 户 直 接 运 行 病毒 程序 。 





可 执 


A 


全 


b 过 滤 拉 林 


网 站 安全 威胁 


础 Web 过 滤 技 术 

o ”网 站 地 址 过 滤 ; 
URL 参 数 过 滤 ; 
Java/Acfivex 阳 断 ; 


恶意 网 站 检测 、 识 别 。 


WW HuAwel 
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恶意 网 页 ， 是 指 网 页 的 内 容 中 航 能 入 恶意 代码 ， 当 用 户 访 问 恶意 网 页 时 ， 恶 意 代 码 被 
植 入 用 户 的 计算 机 ， 可 能 会 导致 用 户 计算 机 上 的 隐私 信息 泄露 ， 计 算 机 成 为 僵尸 网 络 等 严 
重 问题 。 

ee ， 华 为 安全 能 力 申 心 已 累计 发 现 恶意 网 站 156905 个 ， 占 所 有 被 监控 
站 数量 的 1.4%， 这 蕊 味 着 ， 平 均 每 100 丫 网 站 中 ， rep dedi 
成 为 恶意 网 站 。 


垃圾 邮件 过 涯 技术 


。 垃圾 邮件 威胁 


o 垃圾 邮件 是 指 那些 “违背 收 件 者 意愿 ”的 邮件 。 有 别 于 一 般 的 正当 商业 
广告 邮件 ， 垃 圾 邮件 大 多 包含 “反动 、 色 情 、 暴 力 ”信息 ， 通 过 非法 
段 获取 用 户 邮 箱 地 址 ， 对 互联 网 资源 和 用 户 资源 进行 侵占 和 滥用 _MC 


。 垃圾 邮件 危害 


o 市 宽 ， 
o 资产 ; 
o 隐私 ; 
o 工作 效率 。 
。 垃圾 邮件 过 滤 技 术 环节 
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。 垃圾 邮件 过 滤 技 术 -- 预 防 
0 增强 邮件 服务 器 的 安全 性 ， 防 止 漏洞 及 时 补丁 ; 
是 高 系统 防 病 毒 能 力 ; 
oO 提供 邮件 服务 安全 身份 认证 ， 
0 添加 反 垃圾 邮件 的 专用 设备 或 插件 。 
。 垃圾 邮件 过 滤 扩 术 -- 检 测 
oO IP、 域 名 、 邮 件 地 址 的 黑白 名 单 及 RBL 方 式 ; 
oO SMIP 通 信和 链接 速 案 、 频 度 的 设 定 ; 
0 反问 域名 验证 法 ; 
o 基于 信 头 、 六 体 、 附 件 的 内 容 关 键 词 ; 
0 基于 贝 叶 斯 算法 的 统计 分 析 ; 
of 基 平 垃圾 邮件 判定 规则 。 
。 垃圾 邮件 过 滤 技 术 -- 啊 应 
D 丢弃 (Drop) 
oO 标记 (Lable) ; 


0 隔离 (Quarantine) 。 


冻 度 报 文 检测 拉 术 
。 特 征 检测 
。 关联 识别 
。 行 为 检测 
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。 特征 检测 


通过 模式 匹配 算法 ， 根 据 已 知 协议 的 内 容 特征 ， 对 网 络 报 文 的 应 用 层 内 容 进行 匹配 检 
过: 单 包 匹配 、 多 包 匹 配 、 多 流 匹 配 。 


。 天 联 识 列 
对 通讯 控制 通道 和 数据 传输 通 冰 分开 的 应 用 协议 ， 将 多 个 通道 流量 进行 协同 检测 


对 于 某 些 业务 类 型 已 经 判定 的 流量 ， 可 以 通过 三 元 组 对 与 同一 主机 端口 进行 通讯 的 不 
同 流量 进行 天 联 判 断 。 


。 行为 检测 
过 分 析 各 种 应 用 的 连接 数 、 单 |P 的 连接 模式 、 上 下 行 流量 的 比例 、 数 据 包 发 送 频率 
pe 


入 侵 检测 双 防 御 拉 术 、 网 天 防 病 毒 技 术 、WEB 过 滤 技 术 、 垃 圾 邮件 过 滤 技 术 、 深 度 业 
务 监 控 技 术 的 内 容 在 后 面 各 草 闻 将 详细 说 明 。 


总 结 


。 信息 安全 的 基础 知识 
。 内 容 安全 技术 产生 的 背景 
。 内 容 安全 主要 技术 
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练习 题 


。 判断 是 
1. SA 技术 是 通过 对 报 文 的 应 用 层 数 据 进行 内 容 检测 ， 分 析 报 文 或 流 在 IP 


X 


和 UDP/TCP 层 以 上 及 各 种 隧道 内 部 的 应 用 类 型 。 
。 多 选 题 
1. 下 列 属于 应 用 层 常 见 的 攻击 有 ? 
A、 缓 冲 区 溢出 B、 病 毒 C、CC 攻 击 D、arp 其 骗 网 
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习题 与 答案 

1、SA 技 术 是 通过 对 报 文 的 应 用 层 数 据 进行 内 容 检测 ， 分 析 报 文 或 流 在 IP 和 UDP/TCP 
层 以 上 及 各 种 隧道 内 部 的 应 用 类 型 。 

答案 : 正确 

2、 下 列 属于 应 用 层 常见 的 欧 击 有 ? 

人 A、 缓冲 区 汶 出 B、 病 毒 C、 CC 攻击 D、qrp 笋 骗 

答案 : A|B|C 





第 二 章 


入 侵 检 测 与 防御 拉 术 





目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 

学 握 入 侵 检 疯 与 防御 技术 ; 
学 握 入 侵 检 疯 技术 的 应 用 ，; 
学 


握 入 侵 防 御 技 术 的 应 用 。 
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@ 目录 


1， 入 侵 检测 与 防御 基础 
1.1 信息 系统 发 展现 状 
1.2 入 侵 检 测 系统 的 引入 
1.3 入 侵 防御 系统 的 引入 
. 入 侵 检 疯 与 防御 技术 
.入侵 检测 与 防 逢 拉 术 应 用 -NIP 
. 入 侵 检 疯 与 防御 技术 应 用 -UTM IPS 
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记忆 系统 必 展 见 状 


© sa 
下 HO. 
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随 着 信息 拉 术 的 飞速 发 展 ， 信 息 拉 术 给 我 们 的 工作 、 生 活 市 米 了 更 多 的 便利 的 同时 也 
改变 了 我 们 的 生活 、 工 作 模 了 式 。 如 今 我 们 可 以 中 不 出 户 ， 通 过 电子 商务 买 到 目 己 心仪 的 商 
品 ， 通 过 协同 办 公 解 决 远 在 地 球 另 一 病 的 工作 问题 ， 通 过 IM， 将 目 己 和 朋友 的 距离 拉 近 
这 些 痢 是 信息 拉 术 发 展 所 市 来 的 好 处 ， 但 是 同时 我 们 也 看 到 了 信息 技术 的 发 展 也 市 了 一 此 
不 民 的 东西 ， 如 蠕虫 的 爆发 、 垃 圾 邮件 泛滥 等 不 好 的 东西 ， 这 些 犹 如 潘多拉 之 金 一 样 。 


安全 原 胁 无 处 不 在 


黑客 攻击 计算 机 病毒 


木马 蠕虫 
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随 着 信息 时 代 的 来 临 ， 信 息 系 统 的 重要 性 世 喝 显 出 来 ， 电 子 商 务 、 电 子 政务 、 网 上 办 
公 等 ， 信 息 系 统 正在 逐 湖 改变 着 人 们 的 符 活 ， 起 标志 着 信息 时 代 的 来 临 。 

在 信息 时 代 ， 由 于 信息 系统 固有 的 缺陷 导致 信息 系统 面临 各 种 各 样 的 安全 威胁 ， 病 毒 、 
蠕虫 、 各 种 各 样 的 攻击 都 对 信息 系统 的 完整 性 、 可 用 性 以 及 机 密 性 产生 看 威胁 。 


信息 系统 面临 的 挑战 


网 站 被 黑 了 ， 不 知道 是 谁 什么 时 候 干 的 | 

网 站 页 面 访问 不 了 ， 不 知道 受到 什么 样 的 攻击 ! 

言 息 网 络 收 入 侵 ， 调查 中 缺乏 证 据 ! 以 
内 部 数据 外 泄 ， 不 知道 谁 是 内 鬼 ! 

遭受 蠕虫 病毒 攻击 ， 造 成 网 络 竣 痪 ， 但 不 知道 如 何 避免 和 清除 这 些 
攻击 ! 

无 法 有 效 的 掌握 网 络 安全 状态 ， 无 法 及 时 感 和 安全 隐患 | 
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传统 的 信息 安全 防御 手段 (如 防火 墙 ” 已 经 无 法 解决 以 上 这 些 问题 。 面 对 这 些 挑战 我 
们 需要 采取 新 的 安全 指 施 与 技术 。 


如 何 应 对 ? 


。 传统 的 防火 墙 无 法 阻止 来 自 应 用 层 的 威胁 与 攻击 需要 一 种 全 新 的 技 
术 手 段 : 
o 具备 对 常见 入 侵 行 为 的 检测 能 力 ， 可 识别 绝 大 多 数 的 入 侵 行为 ， 及 脖 感 

知 信息 系统 所 面临 的 安全 隐患 ; 
具备 网 络 监控 能 力 ， 提 供 邮 件 、 通 讯 、 文 件 传 输 、 服 务 器 状态 监控 防 
止 信息 外 港 ; 
具备 丰富 的 流量 统计 功能 ， 能 够 准确 掌握 网 络 运行 情况 和 系统 安全 状态 
， 及 时 发 现 网 络 异常 ; 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved; NA HUAWEI 





入 侵 检测 与 防御 系统 能 够 检 测 来自 应 用 层 的 威胁 ， 感 芭 受 保护 的 信息 系统 所 面临 的 各 
种 安全 威胁 ， 记 录 、 监 控 信 息 系统 中 的 各 项 活动 。 


@ 目录 


1， 入 侵 检测 与 防御 基础 
1.1 信息 系统 发 展现 状 
1.2 入 侵 检 测 系 统 的 引入 
1.3 入 侵 防 御 系 统 的 引入 
2. 入 侵 检 疯 与 防御 技术 
3 入侵 检 疯 与 防御 拉 术 应 用 -NIP IDS 
4. 入 侵 检测 与 防 逢 拉 术 应 用 -UTM IPS 
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入 侵 检 测 系 统 的 引入 


。 人 入侵 
入 侵 是 指 未 经 授权 而 尝试 访问 信息 系统 资源 、 窜 改 信息 系统 中 的 数据 ， 使 

言 息 系统 不 可 靠 或 不 能 使 用 的 行为 ; 入 侵 企图 破坏 信息 系统 的 完整 性 、 机 密 
性 、 可 用 性 以 及 可 控 性 。 % 
。 典型 的 入 侵 行为 : 

算 改 Web 网 页 ; 

破解 系统 密码 

复制 /查看 敏感 数据 : Nw 

使 用 网 络 嗅 探 工具 获取 用 户 密码 ; 。 问题 1: 病毒 是 入 侵 行为 么 ? 

访问 未 经 允许 的 服务 器 ; 问题 2: 网 络 鲍鱼 舍 认 侵 行为 么 ? 

其 他 特殊 硬件 获得 原始 网 络 包 : 二 

向 主机 植 入 特洛伊 木马 程序 。 
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四 


对 网 页 的 修改 是 目前 互联 网 中 经 常 遇 到 的 问题 ， 自 改 网 页 的 动机 有 得 是 出 于 好 奇 、 也 
有 不 怀 好 蕊 的 出 于 政治 等 因素 ， 甚 至 有 部 分 是 希望 通过 挂 马 等 手段 获取 经 济 利益 

对 于 在 传输 中 未 采取 加 密 手段 的 网 络 协议 ， 通 过 AR 次 驴 以 及 其 他 手段 ， 可 以 通过 网 
络 咱 探 工具 轻易 地 获取 协议 传输 的 明文 内 容 ， 通 过 简单 转换 就 能 获取 其 中 的 用 户 名 密码 等 
敏感 信息 。 

什么 是 网 络 钓 鱼 ? 

网 络 钓鱼 英文 叫 Phishing 训 是 Fishing 和 Phone 的 结合 体 ， 这 是 因为 最 初 的 钓鱼 作案 就 
是 使 用 的 电话 ， 所 以 使 用 Ph 代 蔡 F， 创 造 了 “Phishing” 这 个 词 。 

网 络 钓鱼 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 来 进行 诈骗 活动 ， 诈 骗 者 把 自己 伪 
六 成 知名 的 网 站 、y 银 行 、 在 线 零售 商 等 豚 引 受害 者 上 当 。 受 害 者 可 能 在 这 些 其 骗 网 站 上 泄 
露 自 己 的 银 J 卡 几 号 、 密码 等 敏感 信息 。 


~ 


党 见 入 侵 万 式 一 WEB 欺 骗 攻 击 


下 给 让 加 


[我 要 访问 Web |】 ，| (我 就 是 Web 服 
服务 器 


冒 Web 服 务 器 Wesb 服 务 希 
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攻击 者 建立 一 个 人 们 相信 的 Web 站 扩 的 拷 由 然后 控制 这 个 Web 站 挟 的 拷贝 ， 攻 击 
者 控制 被 攻击 对 和 象 和 真 的 Web 服 务 器 之 间 的 所 有 信息 流 。 攻 击 者 既 可 以 假冒 用 户 给 服务 器 
发 送 数 据 ， 也 可 以 假冒 服务 器 给 用 户 发 送 假冒 的 信息 。 


Web 欺 驴 攻 击 是 一 种 典型 的 中 间 兴 攻击 方式 。 攻 击 者 通过 往往 通过 静态 观察 ， 侯 动 获 
取 用 户 敏感 数据 或 者 主动 实施 破坏 然 取 用 户主 机 的 控制 权 。Web 欺 骗 攻 击 往往 采取 以 下 
两 种 攻击 方式 。 


。 静态 观察 
5 被 动 地 观察 整个 数据 流 ; 
5 记录 浏览 者 所 访问 的 页 面 和 页 面 的 内 容 ; 
5 记录 用 户 输入 的 数据 和 服务 器 的 响应 ; 
0 大 多 数 在 线 商 务 都 要 填充 表格 ， 所 以 可 简单 地 获得 用 户 的 口令 ; 
0 这 种 方式 比较 隐 涪 不 易 补 发现 。 
。 实施 破坏 


0 攻击 者 可 以 随意 修改 来 往 于 浏览 者 和 服务 器 间 的 信息 ， 比 如 在 网 页 代码 中 增加 恶 
意 代 码 ， 达 到 入 侵 用 户主 机 的 目的 。 


第 见 入 侵 方 陈 一 分 布 式 拒绝 服务 攻击 


。 拒绝 服务 攻击 
口 指 一 个 用 户 占 用 了 大 量 的 共享 资源 ， 使 系统 没有 其 他 的 资 其 他 合 法 
用 户 使 用 的 攻击 ， 拒 绝 服务 攻击 降低 了 ei 
o 系统 资源 : CPU 时 间 、 磁 盘 空 间 、 网 络 带宽 、 打 印 机 、 MODEM. 代 3 
是 系统 管理 员 的 时 间 等 。 


仇 侦 机 . 汪 


仇 贫 控制 机 
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最 基本 的 DOS 攻击 就 是 利用 合理 的 服务 请 求 来 应用 过 多 的 服务 资源 ， 从 而 使 合法 用 户 
无 法 得 到 服务 的 啊 应 。 cetteh eben pons “toenail etd et 类 攻击 方式 。 
单一 的 DOS3 攻 击 一 般 是 采用 一 对 一 方式 的 , 沼 攻 击 目标 CPU 速 度 低 、 内 存 或 者 网 络 市 览 等 
各 项 性 能 指标 不 高 时 ， 它 的 攻击 效果 是 明显 的 。 

分 布 陈 的 拒绝 服务 攻击 IDDoyj 的 原理 很 简单 。DDos 丈 是 利用 更 多 的 例 候 机 来 发 起 进 
攻 ， 以 比 从 前 更 大 的 规模 来 进攻 受害 者 。 高 速 广泛 连接 的 网 络 为 DDoOS 攻 击 创 造 了 极为 有 
利 的 条 件 。 如 果 说 DoS 是 单打 独 斗 ，DDoOS 就 是 群 殴 。 


弟 见 入 侵 方式 一 缓冲 区 浴 出 攻击 


。 缓冲 区 的 溢出 
o 通过 往 程 序 的 缓冲 区 瑟 超出 其 长 度 的 内 容 ， 造 成 缓冲 区 的 溢出 ， 从 而 破 
坏 程序 的 堆栈 ， 使 程序 转 而 执行 其 它 指 令 ， 以 达到 攻击 的 目的 。 
高 位 地 址 \ 


低位 地 址 





~ 2 
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缓冲 区 的 洲 出 原因 分 析 ， 造 成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 检查 用 户 输入 的 参 
数 。 例 如 下 面 程 序 : 


void function(char *str) { 
char buffer[16]: 

strcpy (buffer,str) 

} 


上 面 的 strcpy() 将 直接 把 str 中 的 内 容 copy 到 lbuffer 中 。 这 样 只 要 str 的 长 度 大 于 16， 就 
会 造成 buffer 的 溢出 ,/ 使 程序 运行 出 错 。 


。 常见 的 洲 出 有 : 

D 栈 溢出 ; 

0 扒 浇 出 

0 /整形 溢出 ; 

D 字符 串 洪 出 。 

早期 很 多 蠕虫 都 是 利用 主机 的 缓冲 区 溢出 漏洞 获取 主机 的 控制 权 ， 例 如 : 冲击 波 、 震 
涉 波 并 红 色 代 码 等 。 随 着 软件 开发 者 对 缓冲 区 溢出 问题 的 认识 越 来 越 深 刻 ， 这 类 漏洞 也 越 


帅 见 入 侵 万 式 一 IP 地 址 欺骗 


。 IP 地 址 欺骗 攻击 
a 伪造 某 台 主机 的 IP 地 址 ， 利 用 主机 之 间 的 正常 信任 关系 发 动 的 攻击 。 
o 入 侵 者 可 以 利用 IP 欺 骗 的 技术 获得 对 主机 未 授权 的 访问 ， 因 为 他 可 以 性 
出 这 样 的 IP 包 ， 自 称 来 自 内 部 地 址 。 当 目标 主机 利用 基于 IP 地 址 的 验证 
来 控制 对 目标 系统 中 的 用 户 访问 时 ， 甚 至 可 以 获得 普通 用 户 或 特权 的 权 
限 。 


我 是 主机 B， 请 求 
访问 服务 器 A 


主机 B 人 允许 访问 | 1 


服务 器 A 
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iP 地址 和 家 庭 住 址 一 样 ， 如 果 你 要 写 信 给 一 倒 人 ， 你 就 要 知道 他 (她 ) 的 地 址 ， 这 样 
邮递 员 才 能 把 信 送 到 ， 计 算 机 发 送信 息 是 瓯 好 比 是 邮递 员 ， 它 必须 知道 唯一 的 “家 庭 地 址 - 
才能 不 至 于 把 信 送 错 人 家 。 只 不 过 我 们 的 地 址 使 用 文字 来 表示 的 ， 计 算 机 的 地 址 用 十 进 制 
数字 表示 。 


众所周知 ， 在 电话 通讯 中 ， 电 话 用 尸 是 靠 电话 号 码 来 识别 的 。 同 样 ， 在 网 络 中 为 了 区 
别 不 同 的 计算 机 ， 也 需要 给 计算 机 指定 一 个 号 码 ， 这 个 号 码 就 是 “IP 地 址 ”。 每 一 个 IP 报 
文中 都 是 用 IP 地 址 作为 源 和 目的 地 址 ， 通 过 伪造 源 地 址 ， 攻 击 者 把 目 己 伪 沪 成 又 全 合法 的 
本 人 机 ， OO 党 过 基于 恨 地 址 验证 的 授权 访问 体系 。 在 Do 攻击 中 ， 攻 击 者 经 党 使 用 伪 
造 的 源 iP 地 址 ， 达 到 隐藏 目 己 的 目的 。 


吊 见 入 侵 万 式 一 网 络 优 听 


。 网 络 侦 听 在 协助 网 络 管理 员 监 测 网 络 传输 数据 ， 排 除 网 络 故障 等 方面 具有 
不 可 蔡 代 的 作用 ， 但 也 给 网 络 安全 带 来 极 大 的 隐患 。 


邮件 服务 器 


-> 二 二 - 
了 数据 服务 器 


Web 服 务 器 
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网 络 侦 听 ， 在 网 络 安全 上 一 直 是 一 个 比较 敏感 的 话题 ， 作 为 一 种 发 展 比较 成 熟 的 技术 ， 
侦 听 在 协助 网 络 管理 员 监 测 网 络 传输 数据 ， 排 除 网 络 故障 等 方面 具有 不 可 替代 的 作用 ， 因 
而 一 直 倍 受 网 络 管理 员 的 青睐 。 然 而 ,在 分 一 方面 网 络 侦 听 也 给 网 络 安全 带 来 了 极 大 的 隐 
患 ， 许 多 的 网 络 入 侵 往 往 都 伴随 着 网 络 侦 听 行为 ， 从 而 造成 口令 失窃 ， 敏 感 数据 被 截获 等 
连锁 性 安全 事件 。 

网 络 侦 听 可 以 在 网 上 的 任何 和 个 往 置 实施 ， 如 局 域 网 中 的 一 台 主机 、 网 关上 或 远程 网 
的 调制 解 调 器 之 问 等。 黑客 们 用 得 最 多 的 是 截获 用 户 的 口令 。 在 网 络 上 ， 侦 听 效 果 最 好 的 
地 方 是 在 网 关 、 路 由 器 、 防 炙 瑞 一 类 的 设备 处 ， 通 常 由 网 络 管理 员 来 操作 。 使 用 最 方便 的 
是 在 一 个 以 太 网 中 的 任何 一 合 直 网 的 主机 上 ， 这 是 大 多 数 黑客 的 做 法 。 


网 络 侦 听 需 要 将 主机 的 网 卡 设置 为 混杂 模式 ， 工 作 在 混杂 模式 的 网 卡 ， 能 够 接受 所 有 
经 过 网 卡 的 网 络 报关 ， 哪 怕 这 个 报 文 并 不 是 发 给 目 己 的 。 


入 侵 检 测 


。 入 侵 检 测 (ID，lIntrusion Detection) 


。 通过 监视 名 种 操作 ， 分 析 、 审 计 各 种 数据 和 现象 来 实时 检测 入 侵 行为 的 
过 程 ， 它 是 一 种 积极 的 和 动态 的 安全 防御 技术 
。 入 侵 检测 的 内 容 涵盖 了 授权 的 和 非 授权 的 各 种 入 侵 行为 。 


。 入 侵 检 测 系 统 (IDS，lntrusion Detection System ) 
o 用 于 入 侵 检测 的 所 有 软 硬 件 系统 ; 
0 发现 有 违反 安全 策略 的 行为 或 系统 存在 被 攻击 的 痕迹 ， 立 即 局 动 有 关 安 
全 机 制 进行 应 对 。 
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入 侵 检 测 的 内 容 涵盖 了 授权 的 和 非 授权 的 爸 种 入 侵 行 为 ， 例 如 ， 违 反 安全 策略 行为 、 
冒充 其 他 用 户 、 泄 露 系统 资源 、 恶 意 行为 、 非 法 访问 ， 以 及 授权 者 滥用 权力 等 。 

入 侵 检测 系统 可 以 通过 网 络 和 计算 机 动态 地 搜集 大 量 关键 信息 资料 ， 并 能 及 时 分 析 和 
判断 整个 系统 环境 的 目前 状态 ， 一 旦 发 现 有 违反 安全 策略 的 行为 或 系统 存在 被 攻击 的 痕迹 
等 ， 立 即 启动 有 关 安 全 机 制 进行 应 对 习 彻 如 ， 通 过 控制 台 或 电子 邮件 向 网 络 安全 管理 员 报 


= 于 
sz 全 


告 案情 ， 立 即 中 止 入 侵 行为 、 关 闭 整 个 系统 、 断 开 网 络 连接 等 。 


入 侵 检 测 系 统 在 安全 体系 中 的 位 置 


监视 器 加 固 的 房间 | 安全 传输 
dines A 免疫 火 加 密 、VPN 


\ > 
门禁 系统 ”保安 员 
身份 认证 、 访 问 控制 多 Np. 漏洞 查找 
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在 信息 安全 建设 中 ， 入 侵 检 测 系统 扮演 看 监视 絮 的 角色 ， 通 过 监控 信息 系统 关键 节 
的 流量 ， 对 其 进行 深入 分 析 ， 发 所 正在 发 生 的 安全 事件 。 


一 个 形象 的 比喻 就 是 : IDy 束 像 安 全 监控 体系 中 的 摄像 头 ， 通 过 IDy， 系 统管 理 员 能 够 
捕获 关键 节操 的 流量 并 做 智能 的 分 析 。 从 中 发 现 异常 、 可 疑 的 网 络 行 为 ， 并 疝 管 理 员 报告 。 


。 防火 墙 属 于 串 路 设备 ， 需 要 做 快速 转发 ， 无 法 做 深度 检测 ; 


。 防火 墙 无 法 正确 分 析 挫 杂 在 允许 应 用 数据 流 中 的 恶意 代码 ， 无 法 检测 来 自 内 部 人 员 地 
J 忆 意 操 作 或 误 操 作 ; 


。 防火 墙 属 于 粗 六 度 的 访问 控制 ，IDS 属 于 细 粒 度 的 检测 设备 ， 通 过 IDS 可 以 更 精确 地 监控 
现 网 ; 


。 IDS 可 与 防火 墙 、` 交 换 机 进行 联动 ， 成 为 防火 墙 的 得 力 “ 助 手 ”， 更 好 、 更 精确 的 控制 
外 域 间 地 访问 ; 


。 ID 可 灵活 、 及 时 的 进行 升级 ， 策 略 地 配置 操作 方便 灵活 。 


入 侵 检 测 系 统 的 分 类 


。 基于 主机 的 入 侵 检 测 系统 (HIDS) 
o 主要 用 于 保护 运行 关键 应 用 的 服务 器 ; 
o 通过 监视 和 分 析 主 机 的 审计 记录 和 日 志文 件 来 检测 入 侵 ; 
o 可 监测 系统 、 事 件 、Win NT 下 的 安全 记录 以 及 Unix 环 境 下 的 系 编 i0 菏 ， 
从 中 发 现 可 疑 行 为 ; 
o 侦 听 主机 的 端口 的 活动 ， 并 在 特定 端口 被 访问 时 回 管 理 员 报警 
。 基于 网 络 的 入 侵 检 测 系 统 (NIDS) 
主要 用 于 实时 监控 网 络 关键 路 径 的 信息 ， 侦 听 网 络 上 网 所 有 劳 组 ， 采 集 
数据 ， 分 析 可 疑 对 象 ; 
使 用 原始 网 络 包 作为 数据 源 ; 
通过 网 络 适配器 来 实时 监视 ， 并 分 析 通 过 网 络 的 所 有 通信 业务 ， 也 可 能 
采用 其 他 特殊 硬件 获得 原始 网 络 包 ; 
提供 了 许多 基于 主机 的 入 侵 检 测 系 统 无 法 提供 的 功能 ; 
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根据 入 侵 检测 系统 部 署 的 位 置 的 不 同 ,。 往 往 将 其 分 为 HIDS 和 NIDS， 基 于 主机 的 入 侵 检 
测 系统 部 署 在 主机 上 ， 通 过 检视 主机 的 安全 。IDS 部 署 简单 ， 适 合 加 密 的 环境 ， 但 HIDS 需 
要 依赖 主机 的 DOS， 如果 信 息 系 统 中 主机 数量 繁多 ， 部 署 与 管理 将 比较 麻烦 ;NIDS 部 署 在 
言 忌 网络 的 天 键 节 点 处 ， 监 视 网 络 流量 , 阁 于 独立 性 部 署 ， 对 信息 系统 的 主机 没有 任何 影 
呵 ， 缺 陷 就 是 对 加 密 的 流量 无 法 进行 检视 与 处 理 。 





基于 主机 的 入 侵 检 测 系 统 (HIDS) 


。 优 扣 
能 确定 攻击 是 否 成 功 
监控 粒度 更 细 
配置 灵活 
可 用 于 加 密 的 以 及 交换 的 环境 
对 网 络 流量 不 敏感 
不 需要 额外 的 硬件 ; 
。 缺点 
o 占用 主机 的 资源 ， 在 服务 器 上 产生 额外 的 负载 ; 
o 缺乏 平台 文 持 ， 可 移植 性 差 ， 应 用 范围 受到 严重 的 限制 
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能 确定 攻击 是 否 成 功 ， 攻 击 目的 即 为 主机 ， 可 根据 已 发 生 的 事件 信息 更 准确 地 判 
断 攻 击 是 否 成 功 ; 


监控 粒度 更 细 ， 监 控 的 目标 明确 、 视 野 集中 ，; 


可 检 疯 一 些 基于 网 络 的 媚 3 不 能 检 疯 的 文件 ; 可 以 容易 的 监控 系统 的 一 些 活动 ， 如 
对 敏感 文件 、 目 录 。 程 序 或 新 口 的 存 取 ， 还 可 监视 通常 只 有 管理 员 才 能 实施 的 非 
正常 行为 。 系 统 的 六 些 活 动 ， 有 时 并 不 通过 网 络 传输 ， 即 使 通过 网 络 传输 ， 也 不 
能 提供 足够 多 的 信息 


配置 灵活 ; 
可 用 于 加 密 的 以 及 交换 的 环境 ; 
对 网 络 流量 不 敏感 ; 


不 需要 额外 的 硬件 。 


鼎 用 主机 的 资源 ， 在 服务 器 上 产生 额外 的 负载 ; 
缺乏 平台 文 持 ， 可 移植 性 震 ， 应 用 范围 受到 严重 的 限制 。 


基于 网 络 的 入 侵 检 测 系 统 (NIDS) 


。 优点 四 部 网 | DMI ; 了 网 
监 涡 | 速 度 快 E ERP 文件 共享 WebEAnai 
隐蔽 性 好 
视野 更 宽 
较 少 的 监测 器 
攻击 者 不 易 转移 证 据 
操作 系统 无 关 性 
不 占用 被 保护 的 设备 上 的 资源 
。 缺点 p> 
o 只 监视 本 网 段 活 动 ， 精 确 度 不 高 ’ 
5 在 交换 环境 下 难以 配置 个 记 座 人 © 得 
o。 防 入 侵 欺 骗 的 能 力 较 差 Qt ‘BY 


ea < 人 食 检 测 。 WEB 从 控 件 监控 。 ”MSN 监控 ”文件 传输 监控 会 话 服务 器 监控 
o 难以 定位 入 侵 者 bib 





Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved; Page 19 WW HUAWEI 


监测 速度 快 ， 能 在 微 秒 或 秒 级 发 现 问题 ， 基 手 主机 的 IDS 要 依靠 对 最 近 几 分 钟 内 的 审计 
记录 的 分 析 


隐蔽 性 好 ， 基 于 网 络 的 监视 器 不 运行 基 他 的 应 用 程序 ， 不 提供 网 络 服务 ， 可 以 不 啊 应 其 
他 计算 机 ， 因 此 不 易 受 到 攻击 ; 


视野 更 宽 ， 可 检测 主机 无 法 检 测 到 的 攻击 ; 
较 少 的 监测 器 ， 一 个 监测 器 可 保护 一 个 共享 的 网 段 ， 不 需要 很 多 监测 器 ; 


攻击 者 不 易 转 移 证 据 ， 症 用 正在 发 生 的 网 络 通信 进行 对 实时 攻击 的 检测 ， 所 以 攻击 者 无 
法 转移 证 据 ， 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ， 还 包括 可 以 识别 黑客 身份 和 对 其 进行 
起 诉 的 信息 ， 


操作 系统 无 关 性 六 可 以 配置 在 专门 的 机 器 上 ， 不 会 占用 被 保护 的 设备 上 的 任何 资源， 
入 侵 检测 只 能 检测 到 产地 址 和 目的 地 址 ， 不 能 识别 地 址 是 否 违 造 ， 所 以 难以 定位 真正 的 


@ 目录 


1， 入 侵 检测 与 防御 基础 
1.1 信息 系统 发 展现 状 
1.2 入 侵 检 测 系统 的 引入 
1.3 入 侵 防御 系统 的 引入 
. 入 侵 检 测 与 防御 技术 
.入侵 检测 与 防 逢 拉 术 应 用 -NIP 
. 入 侵 检 疯 与 防御 技术 应 用 -UTM IPS 
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入 侵 防御 系统 的 引入 


上网 册 
恶作剧 、 技 术 炫 邦 、 好 奇 和 益 驱 动 ， 着 眼 了 经 济 全 二 
手段 单一 化 网 络 勒 索 和 诈骗 
目标 较 少 混合 攻击 、 多 重 利用 
责 本 以 政府 、 企 业 等 政治 和 有 经济 
体 为 目标 
隐蔽 性 强 ， 追 求 “ 金 杀 ” 


例 : Conficker 蠕 虫 融合 了 新 旧 多 种 威胁 手段 
口 溢出 漏洞 、 停止 服务 、 多 种 传播 … 
o P2P、 地 下 产业 链 
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随 着 信息 系统 的 发 展 ， 以 及 信息 系统 面临 的 威胁 的 变化 ， 主 要 是 威胁 越 来 越 多 以 及 手 
段 更 加 隐 蒂 ， 变 化 很 多 ， 往 往 都 是 基于 利益 驱动 。 

ID 缺少 主动 防御 的 能 力 的 弊端 也 越 来 越 明 显 ， 信 息 系 统 需要 能 够 主动 应 对 威胁 的 安全 
系统 ， 这 样 IPS 束 问世 了 。IPS 结 合 了 IDS3 对 闪 侵 行为 检测 的 能 力 并 能 够 迅速 截断 己 有 的 攻击 
行为 ， 减 少 信息 系统 面临 威胁 的 损失 。 


事件 监控 IDS->IPS 


| 入侵 检测 IDS 9 | 入 侵 防御 IPS 
。 提供 安全 威胁 监控 平台 。 提供 安全 威胁 监控 及 实 
。 具 备 分 析 、 审计 系统 | QO 时 响应 、 控 制 能 知 ( 
。 强化 风险 管理 能 已 和。 具备 分 析 、 审 讨 及 接 入 
。 及 时 了 解 网 络 安全 状况 | 控 制 系统 

。 为 网 络 安全 风险 控制 提 。 强化 风险 控制 能 力 ， 降 

供 依据 ae 低 安全 影响 
。 优化 风险 控制 环境 











Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved; Page 22 2 HUAWEI 


P2DR 是 一 种 动态 的 网 络 安 全 模型 ， 包 含有 Pketection (防护 ) 、Detection (检测 ) 、 
Response ( 啊 应 ) 、Policy (策略 ) 四 个 部 分 组 成 。 由 Detection (检测 ) 、Response 
〈( 吗 应) 、Protection (防护 ) 组 成 一 个 动态 的 环 ， 围 绕 安 全 策略 而 展开 。 


P2DR 的 核心 思想 是 : 以 Policy 安 全 策略 为 核心 ， 通 过 各 种 入 侵 检查 等 手段 进行 安全 漏 
洞 检测 。 入 侵 检测 使 对 信息 系统 的 防护 由 静态 转化 为 动态 ， 为 系统 安全 事件 提供 快速 响应 
(Response) 。 当 发 现 信 息 系 统 有 安全 异常 时 ， 根 据 制 定好 的 信息 系统 安全 策略 快速 做 
出 反应 ， 从 而 达到 保护 系统 安全 的 目的 。 


入 侵 防 御 系 统 


。 入 侵 防 御 系 统 (IPS，lIntrusion Prevention System ) 
o 定义 : 在 发 现 入 侵 行为 时 能 实时 阻 断 的 入 侵 检 测 系 统 。 
o IPS 使 得 IDS 和 防火 墙 走 癌 统一 
o |IPS 在 网 络 中 一 般 有 两 种 部 署 方式 :。 


旁 路 SPAN: 接 在 交换 机 上 ， 有 
TAP: 通 过 专用 的 流量 镜像 设备 ， 部 署 在 网 络 达 界 。 
Inline: 串 接 在 网 络 边界 ， 在 线 部 置 由 在 续 阻 断 。 
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入 侵 防 御 系 统 ( IPS，Intrusion Prevention=System ) ， 在 发 现 入 侵 行 为 时 能 实时 阻 
断 的 入 侵 检 测 系 统 。 

IPS 是 一 种 智能 化 的 入 侵 检测 和 防御 产品 》 它 不 但 能 检测 入 侵 的 发 生 ， 而 且 能 通过 一 定 
的 啊 应 方式 ， 实 时 地 中 止 入 侵 行 为 的 发 生 和 发 展 ， 实 时 地 保护 信息 系统 不 受 实 质 性 的 攻击 。 

SPAN 也 叫做 端口 镜像 或 者 端 崩 上 监控， 是 通过 交换 机 配置 将 某 个 端口 或 某 组 端口 的 沪 
量 复制 到 另外 的 端口 实现 的 。 

TAP 是 Test Access Roint 的 站 字母 缩写 ， 粗 浅 的 说 ，Tap 的 概念 类 似 于 “三 通 ” 的 意 
思 ， 即 原来 的 流量 正常 通行 , 同时 分 一 股 出 来 供 监测 设备 分 析 使 用 。 对 Taqp 这 个 词 的 翻译 ， 
比较 通用 就 是 分 光 器 /分 路 器 。 分 光 是 数据 通过 光纤 传输 ; 分 路 是 数据 通过 网 线 传输 。 其 
实 这 只 是 最 简单 的 Tap 的 概念 ， 目 前 的 技术 发 展 已 经 产生 出 很 多 种 的 Tap: 有 可 以 把 多 条 
链 路 汇聚 起 来 的 Jop SS 有 把 一 条 链 路 沉 量 分 成 几 份 的 Tap、 有 过 滤 TaPp、 有 Tap switch 等 等 ， 
已 经 不 能 再 用 “三 通 " 这 个 词 去 简单 概括 了 。Tap 的 出 现 是 整个 监控 /监测 领域 的 巨大 革命 ， 
已 从 根本 上 改变 子 监测 分 析 系 统 的 接 入 方式 ， 使 得 整个 监 出 系统 有 了 完整 灵活 的 解决 方案 。 


。 SPan、 接 在 交换 机 芳 边 ， 作 为 端口 映像 ; 
。 Tqp: 接 在 交换 机 与 路 由 器 中 间 ， 劳 路 安 疹 ， 拷 贝 一 份 数据 到 IP> 中 
。4inline; 接 在 交换 机 与 路 由 器 中 间 ， 在 线 安 农 ， 在 线 阻 断 攻 击 。 


入 侵 防御 系统 简介 一 基本 技术 所 


在 线 模式 @ 


目 学 习 及 目 


a 4 


INtrusion E94 


实时 阻 断 . 
Preventio 


N System 


业务 感知 3A 合 
自 定 义 规 则 
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入 侵 保护 系统 的 两 大 基本 拉 术 点 : >A 与 在 线 模式 。 


在 线 模 式 (Inline) : 能 够 让 IPS 实 时 阻 断 到 发 现 的 网 络 攻击 行为 ， 避 免 IDS3 发 现 攻 击 ， 
而 无 法 实时 阻止 攻击 行为 发 生 的 缺陷 \、 最 藉 限度 的 提升 系统 的 安全 性 ; 


自学 习 与 自 适 应 : IPS 能 够 通过 自学 习 与 自 适应 将 系统 的 漏 报 与 误 报 降低 到 最 低 ， 减 少 
对 业务 的 影响 ; 


目 定 义 规 则 : IPS 能 够 目 定 义 入 侵 防 御 规 则 ， 最 大 限度 的 对 最 新 的 威胁 作出 反应 ; 
务 感知 : 让 IP> 能 够 检测 到 基于 应 用 层 的 异常 与 攻击 ; 


实施 阻 断 : IFP> 因 力 采 到 的 是 在 线 部 署 方式 ， 所 以 能 够 在 发 现 攻击 的 同时 实时 阻 断 攻击 ， 
最 大 限度 的 提高 了 保 执 对 象 的 安全 性 。 


@ 目录 


. 入侵 检 测 与 防御 基础 
:. 入 侵 检 测 与 防御 技术 

2.1 入 侵 检 测 技术 

2.2 入 侵 防 御 系 统 原 理 
.入侵 检测 与 防御 技术 应 用 -NIP 
.入侵 检 测 与 防御 技术 应 用 -UTM IPS 
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入 侵 检测 技术 


。 异常 检测 模型 (Anomaly Detection ) 
o 首先 总 结 正常 操作 应 该 具有 的 特征 (用户 轮廓 ) ， 当 用 户 活动 与 正常 行 
为 有 重大 偏离 时 即 被 认为 是 入 侵 
。 误 用 检测 模型 (Misuse Detection) X 


o 收集 非 正常 操作 的 行为 特征 ， 建 立 相 关 的 特征 库 ， 当 检测 的 用 户 囊 系统 
行为 与 库 中 的 记录 相 匹 配 时 ， 系 统 束 认 为 这 种 行为 是 入 侵 
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通过 对 系统 审计 数据 的 分 析 建 立 起 系统 主体 ( 涪 个 用 尸 、 一 组 用 户 、 主 机 ， 甚 至 是 系统 
中 的 某 个 关键 的 程序 和 文件 等 ) 的 正常 行为 特征 轮廓 ， 检 测 时 ， 如 果 系 统 中 的 审计 数据 与 已 
建立 的 主体 的 正常 行为 特征 有 较 大 出 入 束 认 为 是 一 个 入 侵 行 力 。 

一 般 采用 统计 或 基于 规则 描述 的 太 法 建立 系统 主体 的 行为 特征 轮廓 ， 即 统计 性 特征 轮 
廓 和 基于 规则 摘 述 的 特征 轮廓 。 


入 侵 检 测 技术 一 卉 弟 检 测 


通过 对 系统 审计 数据 的 分 析 建 立 起 系统 主体 (单个 用 户 、 一 组 ”用 户 、 主 机 ， 
甚至 是 系统 中 的 某 个 关键 的 程序 和 文件 等 ) 的 正常 行 ” 为 特征 轮廓 ， 检 测 时 ， 
如 果 系 统 中 的 审计 数据 与 已 建立 的 主体 的 ”正常 行为 特征 有 较 大 出 入 就 认 
为 是 一 个 入 侵 行为 。 以 


可 能 的 入 侵 


Process 
Size 
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一 般 采用 统计 或 基于 规则 描述 的 方法 建立 系统 主体 的 行为 特征 轮廓 ， 即 统计 性 特征 轮 
廓 和 基于 规则 摘 述 的 特征 轮廓 。 


入 侵 检 测 技术 一 误 用 检测 


模式 匹配 


CC 
入 侵 特征 SS 


知识 库 


。 误 用 检 测 的 特 扣 
o 入 侵 特 征 若 与 正常 用 户 行 为 匹配 ， 则 入 侵 检测 系统 会 发 生 误 报 ， 
5 若 没 有 特征 能 与 某 种 新 的 攻击 行为 荡 配 ， 则 系统 会 折 生 漏 报 ; 
5 着 攻击 行为 中 攻击 特征 发 生 细微 变化 ， 将 使 误 用 检测 无 能 力 力 。 
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通过 检测 用 户 行 为 中 的 那些 与 邓 些 已 知 的 入 侵 行 为 模式 类 似 的 行为 或 那些 利用 系统 中 
缺 陷 或 是 间接 地 违背 系统 安全 规则 的 行为 ， 米 检测 系统 中 的 入 侵 活动 ， 是 一 种 基于 已 有 的 
和 邯 识 的 检测 。 


这 种 入 侵 检 测 拉 术 的 主要 局 限 在 于 它 失 是 根据 已 知 的 入 侵 序列 和 系统 缺陷 的 模式 来 检 


测 系统 中 的 可 颖 行为， 而 不 能 处 理 对 新 的 入 侵 攻击 行为 以 及 未 知 的 、 潜 在 的 系统 缺陷 的 检 
测 。 


于 帅 检 测 与 误 用 检测 的 优 缺 点 对 比 


。 优点 : 。 优点 : 
o 不 需要 专门 的 操作 系统 缺 o 可 检测 所 有 已 知 入 侵 行 为 e 
陷 特 征 库 ; o 能 够 明确 入 侵 行 为 并 提 闷 防 
o 有 效 检 测 对 合法 用 户 的 冒 范 方法 。 
充 检 测 。 六 缺点 : 
。 缺点 : o 缺乏 对 未 知 入 侵 行 纹 的 检测 
o 建立 正常 的 行为 轮廓 和 确 o 对 内 部 人 员 的 越权 行为 无 法 
定 异 常 行 为 轮廓 的 阀 值 困 进行 检测 。 
难 。 
o 不 是 所 有 的 入 侵 行 为 都 会 
产生 明显 的 异常 。 


4 
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< 


入 侵 检 测 系统 的 两 个 重要 指标 


。 泌 报 (false negative) 
o 指 攻击 事件 未 被 入 侵 检测 系统 检测 出 来 

。 误 报 (false positive) 
5 入 侵 检测 系统 把 正常 事件 识别 为 攻击 并 报警 \、 
o 误 报 率 与 检 出 率 (Detection Rate) 成 正比 例 关 系 


讨论 : 漏 报 和 误 报 佬 站 更 粮 糕 ? 


检 出 率 
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讨论 : 漏 报 和 误 报 哪个 更 糟糕 ? 
漏 报 和 误 报 哪个 更 粮 糕 ， 需 要 结合 业 笑 环 境 (是 业务 优先 还 是 安全 优先 ) 。 


@ 目录 


. 入侵 检 测 与 防御 基础 
:. 入 侵 检 疯 与 防御 技术 
2.1 入 侵 检 测 技 术 
2.2 入 侵 防 御 系 统 原 理 
. 入 侵 检 测 技 术 应 用 -NIP IDS 
. 入 侵 防 御 拉 术 应 用 -UTM IPS 
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入 侵 防 御 系 统 原 理 


。 IPS 枪 测 深 度 
o IPS 拥 有 数目 众多 的 过 滤器 ， 能 够 防止 各 种 攻击 ， 
5 数据 包 处 理 引 擎 是 专业 化 定制 的 集成 电路 ， 可 以 深层 检查 数据 包 的 内 


[pp 


容 。 
。 IPS 特 征 匹 配 
o 依据 数据 包 中 的 报头 信息 对 流 经 IPS 的 数据 包 都 被 分 类 ; 
5 每 种 过 滤器 设 有 相应 的 过 滤 规 则 ， 负 责 分析 相 对 应 的 数据 包 。 
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。 IPS 检 测 深 度 


IPS 实 现实 时 检查 和 阻止 入 侵 的 原理 在 于 IPS3 拥 有 数目 众多 的 过 滤器 ， 能 够 防止 各 种 攻 
击 。 当 新 的 攻击 手段 秘 发 现 之 后 ，IPS 束 会 创建 一 个 新 的 过 滤器 。IPS 数 据 包 处 理 引 擎 是 专 
业 化 定制 的 集成 电路 ， 可 以 深层 检查 数据 包 的 内 容 。 如 果 有 攻击 者 利用 Layer 2 (介质 访 
问 控制 ) 至 Layer 7 〈 应 用 ) 的 漏洞 发 起 攻击 ，IPS 能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 
阻止 。 传 统 的 防火 墙 只 能 对 Layer 3 或 Layer 4 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 防 火 墙 
的 包 过 滤 技 术 不 会 和 针对 每 一 字 生 进行 检查 ， 因 而 也 就 无 法 发 现 攻击 活动 ， 而 IPS 可 以 做 到 未 
一 字 帮 地 检查 数据 包 。 


。 IPS 特 征 匹 配 


所 有 流 经 IPS 的 数据 包 都 彼 分 类 ， 分 类 的 依据 是 数据 包 中 的 报头 信息 ， 如 源 IP 地 址 和 目 
的 iP 地址 、 端 口号 和 应 用 域 。 每 种 过 滤器 负责 分 析 相 对 应 的 数据 包 。 通 过 检查 的 数据 包 可 
以 继续 琢 进 ， 包 含 恶 意 内 容 的 数据 包 残 会 被 丢弃 ， 航 怀疑 的 数据 包 需 要 接受 进一步 的 检查 。 


针对 不 同 的 攻击 行为 ，IP> 需 要 不 同 的 过 滤器 ， 每 种 过 滤器 都 设 有 相应 的 过 滤 规 则 。 


IPS 技 术 


。 IPS 协 议 识别 
o 协议 分 析 与 跟 路 是 IPS 设 备 的 关键 点 ; 
o |PS 不 但 要 分 析 和 跟踪 网 络 层 、 传 输 层 的 协议 ， 还 要 对 众 和 多 的 应 用 
议 进行 分 析 、 跟 踪 。 
。 深度 检测 和 入 侵 抵 御 
o 根据 预先 设 定 的 安全 策略 ， 对 流 经 的 每 个 报 文 进行 深度 检测 ， 
0 一 旦 发 现 隐 藏 于 其 中 网 络 攻击 ， 可 以 根据 该 攻击 的 威胁 级 别 立 即 采 取 抵 
御 指 施 
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。 IPS 协 议 识别 


通过 前 面 的 分 析 ， 我 们 可 以 看 到 协议 分 析 与 跟踪 对 IPS 设 备 的 重要 性 。 与 传统 防火 墙 不 
同 的 是 ，IPS 不 但 要 分 析 和 跟 中 IP、ICMP、NDP、TCP 这 几 种 网 络 屋 、 传 输 层 的 协议 ， 而 
上 且 ， 还 要 对 HTTP、HTIPJ、FTIP、TFIP、SNMP、Telnef+ 、 POP、 DNS、RPC、 
LDAP、ICQ、MSN、Yahoo Messengeér 等 众多 的 应 用 层 协 议 进 行 分 析 、 跟 踪 。 


。 深度 检测 和 入 侵 抵御 


对 于 部 署 在 数据 转发 路 径 丰 的 IP3>， 可 以 根据 预先 设 定 的 安全 策略 ， 对 流 经 的 每 个 报 文 
进行 深度 检测 协议 分 析 跟 踊 x 特征 匹配 、 流 量 统计 分 析 等 ) ， 如 果 一 旦 发 现 隐 藏 于 其 中 
网 络 攻 击 ， 可 以 根据 该 攻击 的 威胁 级 别 立即 采取 抵御 措施 ， 这 些 措 施 包 括 (按照 处 理 力 
度 ) : 问 管 理 中 心 告警 ;丢弃 该 报 文 ; 切断 此 次 应 用 会 话 ; 切断 此 次 TCP 连 接 。 


MA 4 士 


@ /EN 


有 企业 网 络 面临 的 安全 威胁 越 来 越 复 来 了。 尽管 这 些 攻击 可 
客 过 传统 的 防火 墙 ， 设 置 在 网 络 周边 或 内 部 网 络 中 的 入 侵 防御 系统 (IPS) 仍然 能 够 有 效 
ep 为 那些 未 添加 补丁 或 配置 不 当 的 服务 器 提供 保护 。 


入 侵 检 测 系 统 (IDS3) 可 以 监视 网 络 传输 并 发 出 警报 ， 但 并 不 能 拦截 攻击 。 而 IP3 则 能 够 
对 所 有 数据 包 仔 细 检 查 ， 立 即 确定 是 否 许 可 或 禁止 访问 。 当 新 的 弱点 侯 发 现 之 后 ，IPS 整 
会 创建 一 些 新 的 规则 库 ， 试 探 攻 击 这 些 弱 点 的 任何 恶意 企图 都 会 立即 受到 拦截 。 


IPS 部 屠 点 


IP> 是 通过 直接 能 入 到 网 络 流量 中 实现 这 一 功能 的 ， 即 通过 一 个 网 络 
端口 接收 来 自 外 部 系统 的 流量 ， 经 过 检查 确认 其 中 不 包含 异常 活动 或 
可 疑 内 容 后 ， 再 通过 另外 一 个 端口 将 它 传 送 到 内 部 系统 中 。 这 样 一 来 ， 
有 问题 的 数据 包 ， 以 及 所 有 来 自 同 一 数据 流 的 后 续 数据 包 ， 都 能 能 在 IPS 
设备 中 被 清除 挥 。 


正常 数据 流 
攻击 数据 流 
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NIP2200 


一 全 系列 IPS 产 品 


NIP2100D : NIP2200D - NIP5100D : : 


灵活 接口 丰富 接口 、 灵 活 插 卡 入 Ci 高 性 能 ， 高 可 靠 


WW Huawel 





NIP Manager 


NIP Manager 集 中 管理 : 实时 报表 分 析 





-一 而 
@ 和 @ s 
Te 


mm 








基于 Web 的 单机 配置 和 NIP Manager 集 中 管理 方式 ; 


智能 化 报表 、 日 志 功 能 ， 全 面 展示 网 络 实时 状况 、 历 史 信 息 及 攻击 排名 、 流 量 趋势 
走 回 ; 
定时 网 络 健康 状态 报告 ， 指 导 网 络 加 固 及 IT 活动 实施 S 
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华为 NIP 祷 先 的 人 硬件 染 构 


多 核 处 理 器 
* 实现 对 网 络 报 文 的 通用 
预 处 理 ; 协议 智能 识别 ; 
DDoS 攻击 防护 


ESP 应 用 层 加 
FPGA 转发 加 速 j 
。 实现 对 安全 流量 的 。 实现 对 应 用 层 威胁 

快速 转发 的 加 速 检测 及 响应 
处 理 


8 核 网 络 报 文 处 理 器 ， 实 现 会 话 的 快 
速 连接 及 网 络 报 文 预 处 理 


ESP 加 速 板 卡 实 现 应 用 层 报 文 的 灵活 ， 
快速 处 理 


@ 


人 


FPGA 卡 实现 报关 的 快速 转发 ， 最 大 
限度 的 降低 网 络 时 延 


SS。 ™™ 
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IPS 直路 部 着 


漏洞 攻击 签名 默认 开 
局 ， 智 能 阻 断 


零 配置 上 线 
零 设 置 网 络 参 数 
即 插 即 用 


太 容 易 使 用 了 ! 


自动 阻 断 攻击 
生成 日 志 与 报表 


,GQ 
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IPS 劳 挂 部 羊 





“| VLAN 旁 挂 组 网 


。 防火 墙 设置 两 个 VLAN ，VLAN1 和 
VLAN2 

"NIP 上 通过 一 个 物理 接口 ， 设 置 。 WX 
VLAN 转 换 对 : VLAN1 与 VLANA 标 
签 互 换 
通过 防火 墙 WLAN 1 接口 上 簿 的 沉 量 
会 由 右 侧 Trunk 口 发 给 NIR_ ，NIP 完 
成 入 侵 检测 后 把 VLAN1 的 标签 换 成 
VLAN2 标 签 返 回 给 防 八 堵 ， 表 发 到 
Internet。 
Internet 返回 的 流量 路 则 路 径 相反 
NIP 支持 基于 YBAN 配 置 安全 策略 及 
记录 日 志 信 息 











4 
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IDS 芳 路 部 著 


SPAN 接口 镜像 流量 分 光 器 或 TAP 设 备 找 贝 分 流 





NIP 产 品 价值 


保护 客户 端 


Oe a 
RT 
昌 genni 


Em 


应 用 带宽 管 
至 


保护 


服务 器 

:漏洞 防护 
"Web 应 用 防护 。 
:恶意 软件 防护 
.DDOS 防 护 位 


.DNS、 诡 换 路 


“ 设备 漏洞 防 


RS 防护 
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保护 服务 前 


网 络 威胁 


攻击 
"+ se 


AN : 二 期 、 中 期 、 后 期 


A 


服务 > 


WW Huawel 





保护 客户 站 


@ 攻 击 者 上 传 针 对 终端 软件 
@ 黑 客 攻 击 合法 网 站 漏洞 的 恶意 软件 


“eu | 


浏览 网 页 的 用 户 
被 黑客 控制 


让 


浏览 器 及 其 插件 (Java、ActiveX 等 ) 的 安全 防护 ; 
PDF、Word、Flash、AVI 等 文件 层 的 攻击 防护 ; 
木马 、 蠕 虫 及 对 操作 系统 的 攻击 防护 ; 

URL 关键 字 过 滤 


全 让 
< 
“> 
“> 


pH > 
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讲解 客户 端 攻击 的 整个 过 程 ， 及 IPS 在 其 中 发 挥 的 作用 


体 护 基础 设施 


各 种 DOS/DDOS 攻 击 ， 造 成 设 网 络 基 础 设施 
备 性 能 瓶颈 ， 威 胁 可 用 性 


3 


Pa 
< 一 
Ps 
DJ 
I 


-一 
\ 
六 针对 路 由 器 、 交 换 机 等 设备 的 — 
漏洞 攻击 直接 威胁 设备 可 靠 性 
。 基 于 虚拟 补丁 技术 ， 对 基础 网 络 设备 的 漏洞 进行 防护 ; 
。 综 合 7 种 流量 检测 技术 ， 对 各 种 网 络 DOS、 应 用 DOS ( 针对 DNS AHTTP、SIP 的 基 
础 服务 ) 提供 整体 防护 ; 


。 提 供 流量 自学 习 功 能 ， 保 障 对 各 种 异常 流量 攻击 的 准确 检测 | ， 
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将 两 个 方面 : 设备 系统 漏洞 的 防护 ， 对 设备 的 DOS 攻 击 防 护 


。 支持 协议 1200+ Game 84 EE 
Network_Storage 77 an 
。 支持 热门 加 密 P2P 协 议 P2P 72 EE .P2P Upload 
VolP 56 mw ri i . 
。 定制 化 需求 的 快速 响应 能 IM 48 mE -VP nN 


me . 
ma Video 47 NN | 
PeerCasting 36 本 一 Ws 0 
Streaming 29 Ml 
Webmail 23 EMI 
Tunneling 17 下 


有 效 保障 业务 带宽 ， 提 高 企业 IT 治 理 水 平 : 

对 P2P、 济 媒体 等 应 用 带宽 控制 ， 保 障 网 络 资源 有 效 使 用 ; 

限制 使 用 IM、 游 戏 、 股 票 等 应 用 ， 保 障 工作 效率 ; 

Web Mail、 在 线 存 储 以 及 隧道 传输 等 控制 ， 防 止 机 构 内 部 奖 件 非法 外 传 ， 


基于 IP 地 址 的 限 流 
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< 





威胁 防护 全 面 
we | 


。 防止 对 HTTP、FTP、DNS、 。 针 对 客户 日 常 应 用 ,如 : 。 检 测 Web 应 用 相关 攻击 ， 包 括 
Mail 等 服务 器 的 各 种 攻击 : 缓 Office 文 档 、PDF ,多 媒体 以 及 Web2.0 及 后 台数 据 库 ;对 注 
冲 去 溢出 、 系 统 或 服务 漏洞 攻 浏览 器 提供 深度 检测 ， 避 免 客 入 攻击 、 跨 站 脚本 、 目 录 穿 越 
击 、 暴 力 破 解 等 户 端 免 成 为 Botnet 或 网 马 的 受 等 提供 重点 防护 \ 
。 文件 型 病毒 扫描 检测 害 者 
。 文 件 型 病毒 扫描 检测 


网 络 滥用 检测 恶意 软件 检测 


* 检测 P2P、 视 频 应 用 ， 保 障 业 * 蠕虫 、 木 马 、 间 谍 软 件 。 针对 网 络 流量 的 DoS 
务 带宽 * 僵尸 网 络 * 针对 应 用 服务 的 DoS 
“IM、 在 线 存储 、web 邮 箱 、 网 。 广告 软件 等 5 针对 操作 系统 的 DoS 


络 隧道 证 券 及 游戏 的 访问 ， 影 .文件 型 病毒 扫描 检测 “条 描 探 测 
响 员 工效 率 


* 基于 IP 地 址 带宽 限 流 
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可 靠 性 


电信 级 硬件 设计 设备 自身 失效 保护 HA 高 可 靠 部 署 


。 支持 温度 监控 、 风 。 基于 软件 的 Bypass 
扇 热 插 拔 ， 可 适应 。 基于 硬件 的 Bypass ”Internet  “ 
恶劣 环境 应 用 o 电 口 Bypass 
双 电 源 互相 热 备 份 ， oO 多 模 光 口 Bypass 
并 且 支 持 热 插 拔 o 单 模 光 口 Bypass 


按照 电信 产品 要 求 
设计 
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NIP 人 初始化 配置 联网 


默认 IP: 192.168.0.1/24 


Ethernet 


Ex 
! PN 
PC 控制 台 

NIP Manager 服 务 器 
IP:192.168.0.100 
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1、PC 控 制 台 上 可 以 用 于 使 用 ;web 控 制 设备 或 者 安装 NIP Manager 软 件 ; 
2、SWeb 控 制 与 NIP Manager 可 以 使 用 同一 个 PC 控制 合 ， 也 可 以 使 用 两 个 不 同 的 PC ; 


将 PFC 配置 为 122.108.0.XX/ 24 与 设备 联通 ; 登陆 gwWeb 进 入 配置 ， 接 口 点 击 配置 管理 
部 地址 、 网 天 、DNS 等 ， 使 设备 可 以 访问 升级 服务 器 ; 


NIP 接 口 对 工作 模式 


。 NIP 产 品 默认 接口 成 对 工作 
。 接口 对 组 合 
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NIP 产 品 默认 接口 都 是 成 对 工作 的 ， 包 括 主 接口 版 和 扩展 接口 卡 上 的 接口 都 是 按 接 口 
顺序 从 前 至 后 ， 两 两 成 对 工作 〈 如 Q01-b01j 壮 默认 工作 模式 为 |Py>， 用 户 可 以 根据 需要 转 
换 为 IDS 模 式 ; 一 个 接口 对 内 部 工作 时 是 共 对 会 话 的 。 


接口 对 可 以 根据 需要 进行 组 合 ， 形 成 接口 对 组 合 ， 一 个 接口 对 组 合 内 部 是 共享 会 话 的 。 


NIP 双 机 热 备 组 网 ( 主 备 ) 


设备 1: 


IP:192.168.0.12 
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建议 使 用 干 兆 交 换 机 互联 ; 

先 将 一 台 设 备 接 入 交换 机 ， 使 用 sweb 登 陆 一 人 台 设 备 后 配置 好 管理 口 IP 地 址 、 配 置 为 HA 
主机 

再 将 另 一 个 设备 接 入 交换 机 ， 配 置 其 iP 地址 、 配 置 为 HA 备 机 

将 业务 流量 同时 接 入 相同 的 业务 和 


充 程 


登陆 上 GUI 升级 >A 库 
配置 管理 口 名 置 第 三 方 网 


规则 库 上 自动 升级 配置 日 志 主 机 


导入 license 结束 配置 
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首先 需要 对 控制 台 进 行 安 洲 ， 有 关 探 制 台 的 安 角 在 本 胶片 中 不 作 详 细 摘 述 ， 具 体 参 看 
NIP 的 产品 安 闻 手册 。 


NIP 基 本 配置 步 又 


登录 GUI 

查看 威胁 防护 策略 配置 [建议 ] 

配置 规则 库 目 动 升 级 [建议 ] 

导入 License[ 建 议 ] 

手动 升级 “入 侵 防护 ”规则 库 [ 非 必须 ] 
手动 升级 “应 用 控制 ”知识 库 [ 非 必须 ] 
根据 需要 进行 接口 对 /组 合 的 配置 [ 非 必须 ] 
配置 第 三 方 网 管 和 日 记 主 机 [ 非 必须 ] 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved; Page 55 WD HUAWEI 





NIP 的 默认 出 厂 配置 ， 已 经 为 用 尸 考 虑 了 通用 场景 下 ， 设 备 的 基本 配置 ， 也 就 是 说 ， 
用 尸 几 乎 不 用 做 任何 的 软件 设置 ，NIP 束 可 运往 上 线 进行 入 侵 防 护 检 测 。 


登录 设备 


。 将 PC 的 网 线 连接 到 IPS 设 备 的 Mgmt 口 上 ; 


。 默认 配置 下 ,以 192.168.0.1 为 IP 地 址 进行 Web 登 录 ; 用 户 名 为 :admin 网 
密码 :Admin@123。 


器 http://192. 168.0. 1/1ogin. html 








注意 :密码 区 分 大 小 写 ,默认 连续 五 次 输入 出 错 埋 侯 锁 定 一 分 钟 不 能 登录 ; 


N 


令 


RS 
RN 
~ 
~ 
RN 
人 


怒 置 常理 口 参数 


。 开 侧 菜单 样 中 选择 : 系统 ?> 配置 ”> 接口 配置 


。 在 右 侧 显示 框 中 ， 选 中 面 版 图 上 的 “MGMT 口 ， 配 置 其 IP、 网 关 、 
“DNS 首选 地 址 ”与 “DNS 备 选 地 址 ” ; 


接口 配置 接口 对 可 置 


接口 状态 图 
请 点 击 接口 图 标 进行 配置 


际 置 管理 接口 GEQ/0/0 


让 地 址 / 撤 码 
默认 网 关 

DNS 首 计 地 址 
DNS 备 迹地 址 

还 京 

双 工 模式 
ARP 粹 纺 区 击 防 阐 
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怒 置 规则 库 目 动 升 级 


。 开 侧 菜单 样 中 选择 : 系统 ?> 维护 ”> 升级 中 心 
。 默认 配置 下 ， 右 侧 显示 框 中 自动 升级 状态 是 “已 开局 ; 


人 系统 ”维护 、 升级 中 心 ， 


Ge TT 

全 访问 控制 

中 维护 升级 模式 外 网 
9 系统 更 新 安全 般 务 中 心 sec.huaweicom 
eo 配置 立 计 管理 目 动 定时 在 姥 升 级 配置 开 息 


9 _ License 管理 

20120510.011 
4.5.12.28 
4093891 bytes 
20120510.011 
561779 bytes 

: 08.5203 2012/06/04 

升级 文件 发 布 时 间 02.52:01 2012105110 


手动 在 线 升 人 ee 包揽 出 厂 配置 
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工 侧 菜单 样 中 选择 :“ 系 统 ” 字 “维护 “升级 中 心 ” 
默认 配置 下 ， 石 侧 显 示 框 中 目 动 升级 状态 是 “已 开局 ” 


如 果 没 有 开启 ， 请 点 击 “ 修 改 ” 进 行 配置 即 可 ; 确认 升级 过 期 时 间 未 过 期 ， 如 果 已 过 
期 ， 请 导入 license 或 者 联系 HS 用 服 。 


导入 License-1 


。 新 设备 上 线 需 要 用 户 需 要 导入 配套 的 license 文 件 ， 如 果 没 有 导入 或 
者 已 经 过 期 ， 系 统 不 能 执行 IPS、SA 升 级 功能 。 


。 左 侧 菜 单 中 选择 "系统 ” 疗 “ 维 护 ” 闻 "License 管理 ”; 
。 在 右 侧 “License 文 件 管理 ”区 域 中 ， 点 击 “ 上 传 ”按钮 ， 二 党 


的 对 话 框 中 ， 上 点 击 “ 济 览 ”， 选 择 待 上 传 的 License 文 件 ; 


命 当前 hda1 总 空间 : 1438376 KB “剩余 空间 : 784612 KB 
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导入 License-2 


。 上 传 License 文 件 成 功 后 ， 点 击 “ 配 置 ” 对 应 的 小 灯泡 ， 即 可 完成 
License 文 件 激活 ; 
。 提示 : 激活 后 ， 小 灯泡 会 变 亮 ; 


的 系统 〉 维护 、 License 管 理 ， 


License 文 件 管理 
全 上传 器 删除 悉 刷新 


文件 名 文件 大 小 (byte) 最 后 修改 时 间 
hdal Ninuxpatchstate.dat 2340 2012106/04 08:50:38 
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手动 升级 “入 侵 防 护 规则 库 


。 左 侧 菜 单 中 选择 “系统 ” 户 “ 维 护 ” 祖 “升级 中 心 ”; 
。 在 右 侧 “威胁 防护 升级 ”区 域 中 ， 点 击 “ 本 地 升级 ”按钮 ; 





升级 过 期 时 间 
自动 升级 配置 


升级 模式 
安全 服务 中 心 
自动 定时 在 线 升 级 配置 


oo 
License 管 理 威胁 防护 升级 应 用 控制 升级 
iba thd l 版 本 号 20120510.011 


引擎 版 本 4.5.12.28 

引擎 大 小 4093891 bytes 

签名 库 版 本 20120510.011 

签名 库 大 小 561779 bytes 

升级 时 间 08:52:03 2012/06/04 
升级 文件 发 布 时 间 02:52:01 2012105110 


手动 在 线 升级 本 地 升级 FN 侈 复出 厂 配 轩 
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在 系统 \ 维 护 \ 升 级 中 心 \ 威 胁 防护 \、 页面 点 击 “本 地 升级 ”， 在 升级 列表 中 选择 或 者 
上 传 新 的 升级 文件 。 


上 传 升级 包 成 功 后 ， 点 击 “ 配 置 ”对 应 的 小 灯泡 ， 即 可 完成 入 侵 防护 本 地 规则 库 升 级 ; 


提示 : 由 于 升级 过 程 中 需要 对 规则 库 进行 编译 操作 ， 整 个 过 程 较 长 ,一 般 需要 3~4 分 
钟 ， 请 耐心 等 待 。 


臣 置 第 三 方 网 党 


。 系统 \ 配 置 \ 第 三 方 网 管 中 配 置 ， 文 持 JNMP V1/V2C/V3 版 本 配置 


4 系统 、 配置 、 第 三 方 网 答 、 
配置 第 三 方 网 管 


斌 配置 网 管 配置 VY 启用 


9 接口 网 管 服务 器 IP 
9 时 钟 
© NIP Manager 


192 . 168 . 0 136 * 
UDP 端口 


主体 名 
版 本 

读 团 体 字 
写 团 体 字 


162 +<0-65535> 


public 
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< EE 


外 置 日 志 主 机 


系统 \ 配 置 \ 日 志 主 机 中 配置 ， 最 多 可 配置 3 个 日 志 主 机 ， 接 收 设备 
发 出 的 日 志 /CN 言 息 。 


系统 配置 日 志 主 机 


浅 配置 志 192.168.0 .200 | 514 <1-65535> | 英 

9 接口 志 主 机 2 192. 168 .0 201| | 514 <1-65535> | 3 
9 时 钟 
© NIP Manager 应 用 
9 第 三 方 网 管 
9 日 志 主 机 > 
9 联动 防火 墙 

了 价 访问 控制 

中 时 维护 

了 现 高 可 靠 性 





Page 63 


NIP IPS 机 型 功能 配置 汤 


开始 配置 | | 
| 配置 PS 接口 对 | 


查看 策略 配置 / | 
配置 接口 对 ee || 


配置 威胁 安全 


配置 应 用 安全 查看 日 志和 报表 
配置 流量 安全 ten 和 
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首先 需要 对 控制 台 进 行 安 洲 ， 有 关 探 制 台 的 安 角 在 本 胶片 中 不 作 详 细 摘 述 ， 具 体 参 看 
NIP 的 产品 安 闻 手册 。 


NIP IDS 机 型 功能 配置 流程 
开始 配置 
查看 策略 配置 
配置 DS 接口 对 | (可 选 ) 


配置 威胁 安全 


配置 应 用 安全 但 看 日 志和 报 雪 


配置 流量 安全 
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首先 需要 对 控制 台 进 行 安 洲 ， 有 关 探 制 台 的 安 角 在 本 胶片 中 不 作 详 细 摘 述 ， 具 体 参 看 
NIP 的 产品 安 闻 手册 。 


NIP IPS 机 型 典型 组 网 场景 


外 部 网 络 内 部 古 络 
、 邮件 服务 器 


Internet 


:Dos/Ddos 、; 
异常 流量 
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示 一 中 型 企业 内 网 与 互联 网 互通 。 内 《dm2s 对 外 发 布 Web、FTP 等 服务 。 
1、 服 务 器 需要 全 面 防 护 ， 防 止 来 至 瑟 联 网 的 各 种 攻击 。 

需要 防止 公司 总 部 员工 看 土豆 视频 类 P2P 网 络 电影 、 使 用 QQ、MsN 等 聊天 工具 。 
3、 防 护 总 部 办 公 区 ， 防 止 黑 冤 、 亲 马 、 蠕 虫 等 攻击 。 


NIP IPS 机 型 典型 物理 组 网 


~ page67 WW HuUAWEI 
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e 
< EE 





NIP IDS 机 型 典型 组 网 需求 场 奈 


外 部 网 络 内 部 古 络 


从 业 总 部 />300 人 j 
WR 


Web 服 务 


Internet 
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示 一 中 型 企业 内 网 与 互联 网 互通 。 内 《dm2s 对 外 发 布 Web、FTP 等 服务 。 
1、 服 务 器 需要 全 面 防护 ， 防 止 来 至 孔 联 网 的 各 种 攻击 。 

需要 防止 公司 总 部 员工 看 土豆 视频 类 P2P 网 络 电影 、 使 用 QQ、MsN 等 聊天 工具 
3、 防 护 总 部 办 公 区 ， 防 止 黑客 \、 末 马 、 肾 虫 等 攻击 


NIP IDS 机 型 典型 物理 组 网 


。 站 先 ， 需 要 配置 用 户 交 换 机 ， 将 需要 审计 的 正 有 反问 流 量 都 镜像 到 输 
出 口上 ， 然 后 使 用 网 线 与 NIP 设 备 的 901{g0/0/1) 口 ， 连 接 起 来 ， 设 
备 正 式 上 线 开始 工作 。 


NIP 2200D 


a01(g0/0/1) 


流量 镜像 输出 到 NIP 
Internet : 
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确认 引擎 版 本 一 把 胁 防 护 


HUAWEI NIP5100 


9 接口 
9 时 钟 
© NIP Manager 
9 第 三 方 网 管 
9 日 志 主 机 
9 联动 防火 墙 
仿 访问 控制 
启 准 护 
9 系 纺 更 新 
9 配置 文件 管理 


》 | 应 用 安全 


>》 公共 对 银 


维护 ”天 级 中 心 > 


| 帮助 | 保存 | 关于 | 注销 | 镍 屏 | 


2012708/22 
修改 


外 网 
sec.huaywel.com 


已 开局 


20120510.011 
4.5.12.28 

4093891 bytes 
20120510.011 
561779 bytes 
10:56:42 2012/06/02 
02:52:01 201205710 








恢复 出 厂 配 置 
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需要 确认 此 处 的 各 个 版 本 都 有 具体 内 容 而 非 6@” 如果 为 0， 请 执行 本 地 升级 或 者 在 线 升 


级 ， 确 保 升级 成 功 。 


确认 引擎 版 本 一 应 用 控制 


HUAWEI NIPS100 - Mozilla Firefox 


文件 (E) ”六 名 全) 查看 (V) 历史 (G) 书签 旧 ) 工具 (I) 入 肋 (t) 
二 十 | 口 buawEI NIps100 | 十， 


3 | http:/f/192.168.0,17/default.htmie 
We 











HUAWEI NIP5100 


Pa 


[IF 
v 系统 


升级 过 期 时 间 2012108122 
den 训 动 让 纪 卫 和 
9 接口 
9 时 钟 升级 模式 站 网 
安全 报 务 中心 sec huawei com 
o 第 三 方 同 管 自动 定时 在 烧 升 绷 且 置 已 开局 
o 日 过 主机 威 读 防护 升 角 应 用 控制 升级 


9 联动 防火 墙 | 知识 侨 版 本 1.0.0.125 
局 名 访问 控制 引 营 起 本 DPFModule VIOOROO1 CO02S8PCO12 
如 维护 升级 时 间 10.53.55 2012106402 
9 有 系统 更 新 升 暖 妇 伞 发 布 时 间 2011 加 2123 


NE 手动 在 线 升 级 恢复 出 厂 配置 


© NIP Manager 
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““、、 


Es 让、 
RE J 





查看 案 略 配置 《威胁 防护 ) 


登录 成 功 后 ,在 左 侧 菜单 样 中 选择 :“ 应 用 安全 ”人 >“ 策略 应 用 ”， 
并 选择 网 线 接 入 的 接口 组 ， 如 “a01-b01” 

在 右 侧 显示 框 中 ， 能 够 看 到 “Qa01>b01” 与 “b01?>a01” 两 个 疗 
回 都 应 用 了 “威胁 防护 ”策略 “defaulf” ; 


6 ”应 用 安全 策略 应 用 、、 a01-b01 
策略 列表 


色 、 
v | 应 用 安全 中 新 建 器 删除 区 清除 全 部 命中 次 数 俱 刷新 | 全 部 
i ID 。” 源 地 址 目的 地 址 。“ 服务 。 动作 ”应 用 控制 策略 | 威胁 防护 策 网 x 厂 蛋 次 为 启用 ”配置 
ET 0 any any i 


default ‘np 回 世 团 和 国 





多 a03-b03 
如 a04-b04 i ~ defraut” = 
多 a51-b51 
多 a52-b52 
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怒 置 接口 对 /组 合 


。 接口 对 工作 模式 : 

o IPS: IPS 用 于 直路 部 署 

o IDS: IDS 用 于 旁 路 部 署 

Note: 默认 设备 都 是 以 IPS 接 口 对 模式 工作 的 ; A 


o 单 接口 ， AN ， . 


0 多 接口 : 多 个 接口 加 入 接口 组 I 本 7 


=) en od 一 一 一 过 


Note: 多 接口 支持 跨 板 卡 的 接口 组 。 
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接口 对 工作 模式 分 为 IPS、IDS 两 种 ; IRS 用 于 直路 部 署 、IDS 用 于 旁 路 部 署 ;默认 设备 
都 是 以 IPS 接 口 对 模式 工作 。 


接口 对 模式 可 以 转换 ， 用 户 可 以 根据 需要 在 IFy、|ID> 模 陈 直 接 互 转 ; 用 户 在 使 用 设备 
天 应 该 根据 网 络 实际 情况 进行 分 析 ， 选 择 合适 的 方式 。 


在 有 特殊 要 求 (负载 均衡 链 路 或 者 来 回路 径 不 一 致 链 路 ) 中 可 以 配置 接口 对 组 合 来 满 
足 用 户 需 求 ; 


。 接口 对 组 合 是 以 授 口 对 鸭 单 元 的 组 合 ， 不 同 于 接口 的 聚合 ; 

。 用 户 可 以 将 2 个 或 者 更 多 的 接口 加 入 接口 对 组 合 ; 

。 系统 文 持 跨 板 卡 的 接骨 对 组 合 。 

。 接口 对 组 合 的 配置 是 整体 性 的 ， 应 用 策略 和 查看 流量 等 都 以 组 合作 为 一 个 整体 单位 。 


怒 置 接口 对 /组 合 


。 用 户 可 以 对 组 合 好 的 接口 对 进行 转换 工作 模式 、 修 改 别 名 或 者 删除 


组 合 等 满足 操作 。 


系统 接口 配置 。 ”接口 对 配置 


党 配置 接口 对 列表 

i 中 组 合 内 刷新 

lg 名 称 

© NIP Manager pe 

9 第 三 方 网 管 a03- b03 

9 日 志 主 机 a04-b04 

o 联动 防火 寺 TS 可 
】 和 访问 控制 

网 维护 

】 现 高 可 靠 性 
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< EE 


成 员 

a01 - b01 
a03- b03 
a04- b04 


a02 - b02 
a51 - b51 
a52- b52 


接口 对 状态 同步 
口 
口 
口 
国 


A 


Page 74 


傅 启 用 接口 对 状态 同步 后 ,每 对 接口 对 的 接口 状态 ( Up/Down ) 自动 保持 一 致 。 其 中 ,接口 对 组 命 帅 揭 入 对 接 关 对 ， 其 状态 完全 独立 互 不 影响 。 


WW HUAWEI 





怒 置 接口 对 /组 合 


。 勺 选 将 要 组 合 的 接口 对 ， 然 后 点 击 组 合 ， 选 择 工作 模式 、 输 入 别名 
后 ， 创 建 组 合 。 





创建 万 胁 防 护 案 略 


HUAWEI NIPS100 - Mozila Firefox 
文件 (E) 编辑 (E) 查看 (Y) 历史 (G) 书签 (B) 工具 (T) 帮助 (H) 
一 十 | [HUAWEI NIP5100 [+ 





3 | http://192.168.0.17/default.html# 
oo 


HUAWEI NIP5100 


4 ”应 用 安全 、 威 肋 防 护 、 策略 、 


威 肋 防护 策略 第 略 模 板 配置 全 局 参数 


SE 新 建 威胁 防护 策略 


回 策略 应 用 
地 a01-b01 
多 a02-b02 
多 a03-b03 
多 a04-b04 同步 策略/ 第 踢 模 板 
时 a51-b51 
多 a52-b52 
羡 成 肋 防 护 
9 策略 > 
9 预定 义 签名 
9 自 定 义 签名 


protect_dmz 


Threat prevention policy 





A 
| 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved, 


| 帮助 | 保存 | 关于 | 注销 | 说 局 





查看 策略 protect_ dmz 内 容 


HUAWEI MIP5100 - Mozila Firefox 
文件 全 ) 编辑 (E) 查看 (Y) 历史 (5) 书签 但 ) 工具 (IT) 帮助 (d) 
一 十 | [HUAWEI NIPS100 [+ 





© | http://192.168.0.17/default.htmle 
Wa 


HUAWEI NIP5100 


"应 用 安 全 减 且 网 护 ”第 办 


应 用 安全 


3 口 ] 第 喇 应 用 
寻 a01-b01 
闻 a02-b02 
法 a03-b03 
a04-b04 
a51-b51 签名 集 列表 


0 
a | 市 新 六 隐 Bf 
站 到 名 称 协议 方向 严重 性 ”可 信和 度 。 类 别 状态 
seti NETBIOS .NFS TEL? al al all all 让 已 用 


预定 义 签 名 sel2 引 all >= error >= mediut (on.attack buffer-overflow.t 已 启用 
8 自 定义 签名 Sell all 


al 纪 all 引 和 
号 国 应 用 控 桂 材 盖 (0verrides} 列 表 


中 新 准 器 删除 物 剧 新 
签名 有 签名 名 称 
第 1 | 贡 共 1 页 


<9 49 





开局 IP3 命 中 的 IP 隅 高 功能 


文件 E) 加 人 ) 查看 tv) 历史 (G) ”书签 (8) 工具 (T) ”帮助 (H) 
= + | 口 HuAWEI NIPS100 [+) 





€ 3 | http://192,169.0,17/default,htmi# 
>、 ane 





根据 用 尸 需 求 ， 配 置 Se12 的 阻 断 行为 ,。 在 开局 往 IPS 命 中 后 进行 IP 隔 离开 关 ; 
如 果 用 户 需 要 进行 防火 墙 联 动 也 可 以 类 此 配置 。 


HUAWEI MIP5100 - Mozillo Firefox 
文件 (E) ”编辑 人 E) 查看 (YV) 历史 (S) 书签 (B) 工具 (I) 帮助 () 
一 十 | [HUAWEI NiP5100 [+ 





3 | | http://192.168.0.17/default.htmle 
wo 
HUAWEI NIP5100 


TE 


r 应 用 安全 


器 癌 策略 应 用 
a01-bo1 
好 a02-502 
中 a03-b03 
a04-b04 
> a51-b51 签名 集 列 表 p> NW , ; 
Re | 市 新 六 网 出 新 


4 
i 名 称 协议 方向 。 严重 性 ”可 信和 度 。 类 别 状态 。 动作 二、 吧 


sett NETBIOS.,NFS.TEL) all all 让 all 来 乱用 告警 
9 预定 义 签名 salt2 


于 .1 
引 有 all >= efrof 。 >= meiu: (onstiack buffer-overflow.t 已 自用 阳 源 .IP 党 刻 国 贰 
8 自 定义 签名 set3 El all all a 3 当时 于 


3 己 富 有 
3 局 应 用 拉 料 


< <9 


注 盖 (0verrides) 列 表 A >» “4 
字 新建 鼻 抽 际 和 剧 新 


签名 四 签名 名 称 OH 相反 
.4 bd 


第 1 | 区 区 1 刺 没有 记录 





新 建 应 用 控制 策略 app_office 


HUAWEI NIP5100 - Mozilla Firefox 
文件 (E) 编辑 (E) 查看 (V) ”历史 (3) 书签 B) 工具 (T) 帮助 (H) 
二 土 | DHUAwWEI NIPS100 I+ 





名 3 | http://192.168.0.17/default.htmi# 
wo 


HUAWEI NIP5100 


'6- 应 用 安全 应 用 控制 策略 ， 


应 用 安全 


加 第 略 应 用 


app_office 
如 a01-b01 一 
对 于 办 公 室 人 员 上 网 行为 屏蔽 聊天 攻击 及 P2P 电 影 | 
多 a02-b02 


好 a04-b04 
多 a51-b51 
多 a52-b52 
图 成 胁 防 护 
属 应 用 控制 
9 策略 


9 应 用 协议 集 
9 预定 义 协议 
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忌 
3 


3 


4 本 


关于 | 注销 | 锌 屏 | 





配置 P2P、IM 阻 断 结果 


HUAWEI MIP5100 - Mozilla Firefox 


文件 [E) ”编辑 (E) ”查看 (Y) ”历史 (S) ”书签 (8) 工具 (I) 才 助 (H) 
二 土 | 口 HuawEI NIP5100 |+, 
3 | http://192.168.0.17/defauit.html# 

hk 





HUAWEI NIP5100 


应 用 安全 述 对 于 办 公 室 人 员 上 网 行为 屏蔽 黎 天 攻击 及 P2P 电 影 


回 第 咯 应 用 
名 a01-b01 控制 方式 
闻 a02-b02 : jj 
名 a03-b03 
a04-b04 
名 a51-b51 7 3 DWeb_ Browsing 
YY a52-b52 3 OFile Access_Protocol 
习 韶 成 肋 防 护 3 Ovideo 
习 届 应 用 控制 3 Ostock 
9 策略 3 OGame 
9 应 用 协议 集 】 DTunneling 
9 预定 义 协议 DAtack 


~ 





A 和 ， 请 确 

认 是 3 是 交 ? 加 果 1 覆 需 站、 一 和 人 
要 人 9 可 导 拉 “于 ”后 绪 在 纺 汪 浊 和 中 ,请 卫 必 竺 和: 
防护 第 略 列表 中 统一 提交 。 


4 
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在 案 略 应 用 中 5 引用 应 用 控制 案 略 


HUAWEI NIP5100 - Mozilla Firefox 
文件 {E) ”编辑 (E) 查看 (V) ”历史 (S) ”书签 (@) 工具 CT) 帮助 (H) 
二 土 | 口 HuawEI NIP5100 | 士 | 





3 | http://192.168.0.17/default.htmil# 


保存 | 关于 | 注销 | 起 屏 | 


HUAWEI NIP5100 


46- ”应 用 安全 、 策略 应 用 、， a52-b52 、 


应 用 安全 
多 选 
多 选 
列表 中 选择 服务 v 多 选 
动作 permit YY 
好 a03-b03 Ll 
3 应 用 控制 和 中 
了 a04-b04 一 
名 a51-b51 威胁 防护 策略 protect_client v 
a52.b52 > 自 定义 连接 时 长 开启 
图 成 肋 防护 
属 应 用 控制 记录 日 志 开启 
° 和 描述 
9 应 用 协议 集 
9 预定 义 协议 


回 第 格 应 用 
名 a01-b01 服务 
多 a02-b02 


| 
失 
Se 





查看 应 用 策略 结果 


HUAWEI NIP5100 - Mozilla Firefox 


文件 (E) 编辑 (E) 查看 (V) 历史 (G) 书签 @) 工具 (T) 帮助 (H) 
— + | [HUAWEI NIP5100 | 士 | 





3 ||) http://192.168.0.17/default.htmil# 
~ 


| 帮助 | 保存 | 关于 | 注销 | 贸 屏 | 


HUAWEI NIP5100 


4 应 用 安全 第 略 应 用 ，” a52-b52 》 


策略 列表 
应 用 安全 中 新 汗 益 如 除 加 清除 全 部 命中 次 数 性 刷新 | 全 部 沁 息 查询 | 国 高 级 查 淘 
口 和 本 用 ID ” 源 地 址 目的 地 址 服务 动作 应 用 控制 策略 威胁 防护 策略 撕 述 命中 次 器 启用 FE 
学 a01-b01 Sa52 -> b52 (2 ltems) 


癌 a02-b02 EE 


= gefaul 
学 a03-b03 permit default 


中 a04-b04 


名 a51-b51 4 permit app_office 站 protect client LE- 


a52.b52 > permit  - default 
图 成 肋 防 护 
届 应 用 控制 

9 第 略 

9 应 用 协议 集 

9 预定 义 协议 








IE 


1 

六 园 国 

“ 几 风 | 司 革 
9 4》 9 4》 


[9 
3 
i 
到 





启用 SYN Flood 攻 击 防 御 


HUAWEI NIP5100 - Mozilla Firefox 


文件 (FE) ”编辑 ([E) ”查看 (VYV) 历史 (S) 书签 (B) 工具 (TI) 帮助 (H) 
一 土 | 口 HuawEI NIPS100 | 十 | 


© |||) http://192.168.0,17/defauit.html# 
SS 








HUAWEI NIP5100 


HUAWE! 


OPT a 


也 SYN Flood 攻 击 防御 


”流量 安全 防御 模式 增强 


这 流量 型 包 速 率 闪 值 <1-1200000> 包 /起 
9 全 局 参数 配置 
® TCP Flood > 厂 SYN-ACK Flood 攻 击 防御 


9 TCP 连接 耗 尽 
© UDP Flood 厂 ACK Flood 攻 击 防御 


© HTTP Flood 三 TCP 分 片 攻 击 防御 
© HTTPS Flood 


© DNS Flood 厂 FINRST Flood 攻 击 防御 

© SIP Flood 

© ICMP Flood 
优 报 文 型 


厂 TCP 限 流 





开局 流量 基线 学 习 功 能 


HUAWEI NIP5100 - Mozilla Firefox 
文件 (E) ”编辑 (E) ”查看 (Y) ”历史 (S) 书签 (B) 工具 (I) ”帮助 (H) 
一 + | [HUAWEI NIp5100 |+| 





3 | http://192.168.0.17/default.htmil# 
sq 


HUAWEI NIP5100 


Y ”流量 安全 
基线 学 习 


信 流量 型 每 次 学 习 时 长 


9 全 局 参数 配置 > 

© TCP Flood 

@ TCF 连接 耗 尽 周期 字 习 间隔 
© UDP Flood I 自动 应 用 


学 习 模 式 


© HTTP Flood 

© HTTPS Flood 

© DNS Flood 

© SIP Flood 

© ICMP Flood 
仿 报 文 型 


TCP Flood 
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根据 实际 网 络 情况 ， 开 启 基线 流量 学 习 功 能 并 设置 学 习 周期 ;设置 是 否 自动 应 用 学 
习 成 果 ; 基线 学 习 功 能 是 用 户 可 选 配置 。 


在 攻击 接口 上 局 用 流量 安全 检测 


HUAWEI MIP5100 - Mozdo Firefox 
文件 企 ) ”编辑 {) ”查看 (Y) ”历史 {S) ”书签 但 ) 工具 ( 工 ) ” 才 册 癸 ) 
EE 只 | HUAWEI NIPS100 中 





名 > |) http://192.168.0.17/default.html# 





者 动 | 保存 关于 | 注销 | 嫌 翌 | 


HUAWEI! NIP5100 


” 全 Eo (CD 





9 时 钟 
© NIP Manager 
9 第 三 方向 管 
se 日 志 主 机 
9 联动 防火 墙 
僵 访问 琉 玫 
号 维护 
铭 商 可 党 性 


UF , 国 =oo WN "和 了 本 xoor YN 


接口 别 各 
度量 琵 攻 击 防 疡 
速 军 

双 工 模式 


禁用 接口 
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通过 义 选 将 配置 的 流量 安全 配置 应 用 到 相应 接口 上 。 


查看 检测 结果 一 统计 


DHUAWEI NIP2200D - Mozilla Firefox 


文件 (FE) ”编辑 (E) 查看 (V) ”历史 (S) ”书签 {@) 工具 (IT) ”帮助 (H) 
一 + | HuAWEI NIP22000 [+ 








> i http://192.,168.0.5/default.html# 
€ [http:/f j 


HUAWEI NIP2200D 


异常 流量 统计 信息 


大 类 应 用 协议 比例 统计 信息 


2012-06-01 23.4339---2012-05.02 00:22:31 


重 团 
名 和 浆 


流量 ( MB》 百分比 ”查看 
第 1 | 页 共 1 页 设 有 记录 


设备 资源 信息 


威胁 防护 统计 


a | 
威 财 防 护 严 生性 统计 信息 QS 


2012-06-01 23:41:30---2012-06-02 00)22:31 


1 


威胁 防护 攻击 
TOP10 


2012-06-01 23:41:30-20920602 大:22:31 [下 下 
Dp 答 54 和 TO 命中 次 数 查看 


告警 信息 《 De 
it 


威胁 防 扩 攻 击 事 件 TOP10 


时 间 
没有 省 警 信息 





查看 攻击 日 志 


HUAWEI NIP2200D - Mozilla Firefox 


文件 (FE) ”编辑 ([E) ”查看 (Y) 历史 (S) 书签 (B) 工具 (T) ”帮助 ({H) 
一 十 | [HUAWEI NIP2200D I+ 


> | http://192.168.0.5/default.html# 
Ne 一 一 








HUAWEI NIP2200D 


输出 日 志 的 级 别 


日 志 显 示 列 表 
图 导 出 僧 剧 新 | 日 志 类 型 
安全 级 别 。 “日志 类 型 

第 1 “页 共 1 页 
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Bypass 卡 的 使 用 


电 Bypass 卡 ， 直 接 作 为 业务 口 使 用 ， 使 用 方法 与 普通 业务 接口 无 区 
别 。 
光 Bypass 卡 ， 需 要 参照 下 图 进行 连 线 才 可 使 用 ; 


Bypass 光 口 X X | 上 下 游 设备 光 口 
SR 
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。 Bypass 光 口 : Bypass 卡 上 的 一 路 光 口 (四 对 路 发 ) 

一 般 光 Bypass 卡 ， 都 是 两 路 或 两 路 以 上 的 。BypPass 卡 需要 插 在 NIP 设 备 某 个 Slot 权 位 
上 。Exfernal 下 的 两 队 接口 用 于 连接 下 洲 设 备 ， 而 Infernal 下 发 的 接口 用 于 与 NIP 设 备 上 
的 通信 口 连接 。 


。 NIP 光 口 : NIP 设 备 上 的 光 口 。 
这 些 光 口 可 以 是 主 接口 面板 点 网 光 口 ， 也 可 以 是 用 户 插 入 的 光 接 口 卡 。 


。 上 下 游 设备 光 口 : 用 于 连接 上 下 有 设备 ， 接 入 流量 使 用 。 


@ 目录 


.入侵 检 疯 与 防御 基础 
. 入 侵 检 疯 与 防御 技术 
. 入侵 检 疯 与 防御 技术 应 用 -NIP IDs 
: 入 侵 检 测 与 防御 拉 术 应 用 -UTM IPS 
4.1 IP$ 功 能 介绍 
4.2 IF> 典 型 组 网 配置 
4.3 IPS 特 性 配置 
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IPS 功 能 介 


防范 针对 应 用 漏洞 发 起 的 入 侵 攻击 ， 如 针对 IE 漏 洞 ，Ovutlook 漏 洞 ，SQL 数 
据 库 漏洞 ， 系 统 漏洞 等 ; 

对 恶意 程序 攻击 行为 的 检测 ， 如 蠕虫 ， 木 马 ， 间 谍 软 件 的 攻击 行为 等 ; 

对 可 疑 的 网 络 行为 进行 检测 ， 包 括 文件 共享 ， 远 程控 制 等 ; XX 
对 非法 操作 的 检测 ， 如 对 扫描 的 检测 ; 

防范 零 日 攻击 。 


里 虫 病 IPS 实 现 内 外 网 的 同时 防御 


间 谍 软 


扫 描 攻 
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。 对 知名 协议 的 有 效 识 别 
oO 由 于 有 些 知 名 的 应 用 协议 并 非 开 在 知名 的 服务 端口 上 ， 如 HTTP 服 务 可 能 开 在 8080 
端口 ， 原 先 基 于 端口 号 进行 协议 识 询 的 方法 丈 会 失效 ， 导 致 一 些 安全 检测 被 遗漏 
可 
D_ USG5000 能 够 识别 
HTTP,SMITP,FTP,POPS3,IMAP4,MSRPC.,NETBIOS,SMB,MS_SQL,TELNETIRC, 
QQ,ICQ,Google Talk,Yahoo Messenger,eMule, eDonkey 协议 。 


。 对 协议 异 弟 的 分 析 
5 知名 的 应 用 协议 是 有 一 套 公 认 的 标准 ， 如 采 个 字段 的 数据 长 度 最 大 为 多 少 ， 如 
DNs 域 名 解析 请 求 中 ， 域 名 每 节 的 字符 长 度 不 能 够 超过 63， 直 过 了 则 可 能 导致 荣 
些 DNS 服 务 器 出 错 等 ; 
0 USG5900 能 够 对 
HTTP;SMIP,FTP,POPS3,IMAP4,MSRPC.,NETBIOS,SMB,MS_SQL,TELNET,IRC, DNS 
协议 进行 协议 异常 分 析 。 


IPS 检 测 流程 


解析 接收 到 的 数据 包 ， 获 取 ee 
五 元 组 等 相关 信息 ; IP 分 片 IPS 检 测 引 擎 返回 检测 结 


ee 果 ， 系 统 根据 检测 结果 及 
A ee 用 户 设 定 的 策略 进行 响应 ， 
C 包 进 行 流 重 组 ， 防止 躲 包 或 \ 等 
各 IPs 检 测 技术 cg 


4 


数据 报 文 接收 及 解析 > 数据 包 匹配 签名 库 根据 检测 结果 及 策略 


分 片 重组 流 重 组 进行 响应 及 转发 


DB 


把 解析 出 来 的 数据 包 
送 进 IPS 检 测 引 擎 进行 
数据 流 的 识别 及 入 侵 
威胁 相关 安全 检测 
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对 入 侵 行为 进行 啊 应 ， 丢 包 及 阻 断 ( 这 是 常规 的 啊 应 方式 ， 有 的 产品 可 能 还 支持 其 它 响 
应 方式 ， 如 邮件 告警 等 ) 提 供 日 志 记 录 和 报表 功能 ， 方 便 企 业 对 于 网 络 安全 状况 的 了 解 和 取 
证 。 





@ 目录 


:入侵 检 剖 与 防御 基础 
. 入 侵 检 疯 与 防御 技术 
. 入 侵 检 测 与 防御 拉 术 应 用 -NIP IDs 
. 入 侵 检 疯 与 防御 技术 应 用 -UTM IPS 
4.1 IPS 功 能 介绍 
4.2 IPS 典 型 组 网 配置 
4.3 IPS 特 性 配置 
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IPS 典 型 组 网 配置 


步骤 一 : IPS 基 础 配置 
国 步骤 1.1 License 激 活 

国 步骤 1.2IP> 引 擎 加 载 (升级 ) 
量 步骤 1.3 IP3 全 局 配置 


步骤 二 : IPS 策 略 配 置 应 用 


四 步骤 2.1 创建 并 配置 IP> 策 略 
国 步 又 2.2 应 用 IPS 策 略 
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。 在 进行 IPS 模 块 的 配置 前 ， 需 要 完成 以 下 三 个 预 配置 : 
oO DNS 配 置 。 只 有 配置 了 才能 解析 Sec.hvaweisymantec.com 升 级 特征 库 。 


D_UTM 运 行 模式 的 全 局 配置 ， 出 太 默 认 工作 在 防火 墙 模式 ， 需 要 通过 命令 runmode 
utm ， 更 改 为 UTM 运 行 模式 。 
D 大 流量 下 业务 优先 、 安 全 优先 的 配置 。 
执行 命令 utm bypass eneble ， 局 用 深度 检测 过 载 保护 功能 。 缺 省 情况 下 ， 局 用 深度 
检测 过 载 保护 功能 。 启 用 深度 检测 过 载 保 护 功 能 将 实现 业务 优先 。 当 USG 出 现 内 存 不 足 或 
者 CPU 处 理 能 力 达到 上限 的 情况 下 ，UTM 功 能 自动 短暂 失效 ， 报 文 不 经 过 UTM 功 能 的 检测 
就 被 转发 。 当 USG 的 内 存 使 用 情况 和 CPU 处 理 能 力 恢 复 正 常 后 ，UTM 功 能 将 自动 生效 。 


IPS 基 础 配置 一 License 激 活 上 传 


、 维护， 


License 数 活 方式 
文件 


License 资 源 

虚拟 防火 墙 

SSL_VPN 

入 侵 防 钾 
版 本 号 : 


， _ License 管理 > 


License 激 活 方式 
License 中 心 域 名 


License 授 权 编 码 


。 本 地 手动 激活 : 
。 在 线 目 动 激活 : 


License 用 来 动态 控制 产品 的 某 些 特性 是 


License 管 理 、 


已 经 通过 License 平 


在 线 自动 数 活 


状态 

已 援 权 〈100 个 虚拟 防火 墙 ) 
已 援 权 〈100 个 并 发 用 户 ) 

已 授权 《过 期 时 间 : 2012/10/13) 
20110915.011 


®) 在 线 自动 激活 


lichuawei.com 


状态 


已 授权 〈 100 个 虚拟 防火 墙 》 
EE ( 100 个 el 


‘| 


(| 





否 咱 用。 利用 


客户 的 需求 增 减 特性 ， 保 护 并 记 省 用 户 的 投资 % 


e 合同 编号 (Contract No.) 


从 Bicense 授 权证 书 上 
。 License 授 权 码 LAC (License-Aufhorizafion Code) 


。 设备 序列 号 ESN (EquipmenTSerial Number) 


“系统 > 维护 > License 管 理 ” 
号 ESN。 


系统 中 只 
License 失 效 。 


能 存在 一 个 处 于 激活 状态 的 License 文 件 ， 


本 地 手动 激活 


9) 本 地 手动 激活 


浏览 ... 


[ice ‘se A 


大 级 可 置 ] 


输入 Lvense 授 权 编 码 ， 
“入 和 甸 已 经 连接 

Iniernet， 点 击 激活 。 
设备 将 自动 下 载 License 
到 设备 中 。 


AP 4 


合 获取 到 LigencSSg 人 的 情况 。 
已 经 购买 License， 并 获取 [License 授权 编码 。 


(推荐 ) 


License 机 制 ， 可 以 灵活 地 根据 
获得 ; pl 


从 License 授 权证 书 上 获得 ; 
Web 界 面 后 ， 展 开 


登录 到 设备 


， 在 “防火 墙 License 人 信息” 界面 上 可 获得 设备 序列 


激活 新 的 License 将 会 使 旧 的 


IPS 基 础 配置 一 IPS5| 敬 升级 设置 


| 点击 已 进行 IPS 相 
关 升 级 配置 


。 人 也 可 以 进行 手动 在 线 升级, 尽 人 证 特征 库 引 区 
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IP> 引 擎 根据 特征 库 进 行 监测 ， 需 要 保证 IP> 引 擎 更 新 到 最 新 的 特征 库 ， 
USG5000 提 供 定 时 在 线 升级 、 手 动 在 线 升级 、 本 地 升级 三 种 升级 万 式 ， 灵 活 实 现 IP3 引 
擎 和 签名 库 、AV 反 病毒 引擎 和 病毒 库 的 更 新 ; 

用 户 可 以 选择 先 下 载 IP> 版 本 ， 确 认 后 再 进行 安 志 或 者 下 载 后 直接 安 痛 的 方式 。 缺 省 情 
况 下 ， 需 确认 后 再 进行 安 六 。 选 择 此 方式 后 ， 定 时 在 线 升 级 、 手 动 在 线 升级 和 本 地 升级 
均 只 将 IPS 版 本 下 载 到 USG 上 ,4 安 狼 。 只 有 当 USG 上 存在 新 下 载 的 IP3 版 本 时 ，“ 安 六 
升级 包 ” 按 钮 才 生 效 ; 


手动 安装 需要 在 Sec.huqweisymqntec.com 注 册 下 载 签 名 库 的 时 候 获 取 激 活 码 。 


IPS 基 础 配置 一 IPS 全 局 设置 


Y 局 用 应 用 
th 能 并 且 有 相应 的 Licens 印 入侵 防 俩 、 反 病毒 、URL 过 


车 口 有 店 用 UTM 功 
从 和 垃圾 邮件 过 小 功能 才 可 以 使 用 。 


全 局 启用 UTM 功 能 


局 局 用 [RS 幼 楷 
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使 用 IPS 功 能 前 ， 请 先 全 局 启用 IP$ 功 能 并 配置 PS 的 工作 模式 ， 另 外 ，USG5000 还 支持 
配置 特权 策略 。 
。 |PS 开 关 

自动 启用 IPS 功 能 后 ， 匹 配 防火 墙 策略 的 报 文 将 进行 IP5 扫 描 。 禁 用 IP5 功 能 后 ， 所 有 报 
文 都 不 进行 IPS 扫 描 。 缺 省 情况 下 ,， 旭 SG5000 启 用 IPS 功 能 。 
。 工作 模式 

IPS 工 作 模式 有 防护 模式 和 告警 异 式 两 种 。 只 有 在 防护 模式 下 ，IP3 策 略 中 配置 的 阻 断 
员 应 方式 才 可 以 生效 ; 告警 模式 十 ，IPS 策 略 中 配置 的 阻 断 啊 应 方式 无 效 ， 即 使 报 文 命中 的 
签名 对 应 的 响应 方式 为 Bock% USG5000 也 只 会 产生 告警 。 缺 省 情况 下 ，|IPS 工 作 模 式 为 防 
护 模式 。 
。 特权 策略 

当 网 络 中 某 过 类 玫 击 集中 爆发 时 ， 需 要 使 用 统一 的 策略 应 对 ; 当 这 类 攻击 过 去 ， 需 要 
恢复 原来 配置 的 策略 。USG5000 通 过 配置 特权 策略 实现 该 功能 。 

配置 了 特权 策略 后 ， 特 权 策 略 将 替换 所 有 已 经 应 用 在 域内 或 域 间 的 策略 ， 没 有 应 用 IPS 
策略 的 域内 或 域 间 不 会 添加 特权 策略 。 取 消 特 权 策 略 配 置 后 ， 将 恢复 域内 或 域 间 原 来 的 策 
略 配置 
。 以 下 两 种 情况 会 触发 USG5000 编 译 IPS 策 略 : 

D、 将 某 条 IP3 策 略 配置 为 特权 策略 ， 如 果 该 条 IP3 策 略 没 有 编译 或 者 自 上 次 编译 后 有 

修改 ， 会 触发 USG5000 编 译 所 有 IPS 策 略 ; 
oO 取消 特权 策略 的 配置 时 ， 如 果 某 条 IPS 策 略 没有 编译 或 者 自 上 次 编译 后 有 修改 ， 会 
触发 USG5000 编 译 所 有 IPS 策 略 。 


IPS 末 略 配置 一 创建 IPS 宁 略 


IPS 策 略 策略 模板 
配置 全 局 参 孝 


入 侵 防 御 功 能 开关 
工作 模式 
特权 策略 


六 侵 防御 策略 列表 


Bla 


名 称 
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USG5000 提 供 IPS 策 略 模板 ， 模 板 中 已 定 义 签 名 集 及 啊 应 方式 。 如 果 模 板 能 够 满足 
用 场景 或 者 与 应 用 场景 相似 ， 则 可 直接 在 策略 中 引用 模板 或 引用 模板 后 对 签名 集 进行 相 
的 修改 。 这 样 可 以 达到 攻击 检测 率 及 性 能 最 优化 。 


。 USG5000 提 供 两 个 策略 模板 : 
o Default，default 模 板 包 插 匹 配 特 定 过 滤 条 件 的 签名 ， 状 态 为 局 用 ， 响 应 方式 为 
Block。 该 模板 能 够 检测 政 击 并 进行 防御 ， 可 以 应 用 在 一 般 的 入 侵 防 御 场 景 中 。 
说 明 : 使 用 default 模 板 能 够 检测 并 防御 的 攻击 类 型 包括 attack，worm，DoS， 
DDoS, buffer ovekflow。 
o IDS, 3 模 要 包 括 电 有 健 名 ， 状 态 为 启用， 响应 方式 为 Alert。 该 模板 能 够 检测 攻 
击 ， 但 不 进行 防御 ， 可 以 应 用 在 一 般 的 入 侵 检 疯 场景 中 。 


应 
应 


IPS 荣 略 配置 一 配置 IP9 荣 略 


bb UTW > 入 侵 防 种 》 第 略 》 
IPS 策 略 策略 模板 
新 建 入 侵 防 钙 策略 


名 称 Protect 
换 壕 IPS policy 

GreA 
同步 第 略 玄 略 模 板 “| 一 无 一 凹 显 策略 交 特点 


兮 配置 完成 后 请 务必 点 击 应 用 。 


点 击 应 用 ， 使 名 
间 称 生效 ， 并 继续 
后 续 配 置 
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创建 |PS 策 略 后 ， 用 户 可 通过 配置 签名 集 ， 以 及 签名 集 的 启用 状态 和 响应 方式 来 满足 特 


。 创建 一 个 等 名 集 后 ， 缺 省 情况 下 所 有 预定 兴 签 名 都 包含 在 该 签名 集中 。 用 户 需 要 以 下 操 
作 过 滤 人 签名 集中 包含 的 签名 : 


5 在 签名 集中 局 用 茶 个 过 滤 条 件 。 

0 配置 该 过 滤 条 件 的 过 滤 参 数 。 

0 一 个 签名 必须 同时 满足 所 有 过 滤 条 件 才能 加 入 签名 集 

0 包括 引用 策略 模板 生成 的 签名 集 在 内 ，USG3000 一 条 策略 中 最 多 支持 10 个 位 名 集 


签名 集 之 间 存 在 优先 关系 ， 在 同一 条 |IPS 策 略 中 ， 排 在 前 面 的 签名 集 比 排 在 后 面 的 签名 
集 的 优先 级 高 。 如 果 二 个 签名 包含 在 一 条 |IP3 多 策略 的 多 个 签名 集中 ， 则 USG5000 按 照 优 先 
级 高 的 签 名 集 所 配置 的 启用 状态 和 响应 方式 对 匹配 和 名 的 报 文 进行 处 理 。 当 安全 威胁 发 生 
变化 ， 用 户 可 以 调整 签名 集 的 优先 级 来 满足 新 的 安全 需求 。 


IP> 策 略 中 配置 等 名 集 后 ， 还 可 以 通过 配置 履 兰 签名 满足 用 户 的 特殊 需求 。 


IPS 案 略 配置 一 创建 念 名 集 


IPS 策 略 策略 模板 
新 建 入 侵 防御 策略 


IPS policy 
凡 击 创建 签名 集 
以 进行 签名 的 得 
选 全 配置 完成 后 青 务 必 点 击 应 用 。 


eo WW HUAWEI 





IPS 宁 略 配 置 一 侈 名 集 评 细 了 配置 


protect_all 
局 用 
局 用 
启用 


启用 
配置 名 字 ， 可 以 凸显 该 签 
名 集 特点 


四 开户 类 别 维度 利 选 ，， 洗 择 或 的 膛 辑 
关系 以 选择 所 有 签名 


Y 启用 
可 选 
Adware | 

a 最 后 点 击 应 用 
以 使 配置 生效 
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签名 集中 只 包含 预定 义 签名 ， 不 包含 自 定义 签名 。 
USG5000 一 条 策略 中 最 多 支持 10 个 签名 集 : 


等 名 集 之 间 存 在 优先 关系 ， 在 同一 条 IP> 策 略 中 ， 排 在 表面 的 签名 集 比 排 在 后 面 的 签 
集 的 优先 级 高 。 如 果 一 个 签名 包含 在 一 条 IPS 策 略 的 多 个 签名 集中 ， 则 USG5000 按 照 优 先 
级 高 的 签名 集 所 配置 的 启用 状态 和 啊 应 方式 对 匹配 签名 的 报 文 进行 处 理 。 当 安全 威胁 发 生 
变化 ,用 户 可 以 调整 等 名 集 的 优先 级 来 满足 新 的 安全 需求 。 


IP> 策 略 中 配置 等 名 集 后 /还 可 以 进一步 配置 覆盖 签名 来 满足 用 户 的 特殊 。 


”防火墙 > 安全 策略 > 转发 策略 


转发 策略 列表 

宁 新 建 器 暗 除 输出 新 | trust 加 -> untrust 同 人 & 查 间 | 加 高 级 查询 
ID 源 地 址 目的 地 址 用 户 服务 动作 

日 untrusft->trust 


折 建 一 个 策略 以 引用 IPS 策 略 出 
日 dmz->trust 
默认 any 
日 trust->dmz 
默认 any 
日 untrust->dmz 
默认 any 
日 dmz->untrust 


默认 any 
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(0 
配置 PS 策略 后 ， oii ml 
仿 
) 


vs 
SS 





IPS 策 略 配 置 应 用 一 域 则 应 用 1PS 策 略 


源 目 的 地 址 不 用 配置 ， 默 认为 所 有 |IP 报 
SR 


动作 必须 为 permit， 意 思 为 容 和 汽 W IP3 
策 | 4 


加 IPS 


分 选 IPS， 并 沁 . 注 IPS 策 略 protect 
IPS 深 略 protect 
EAV 
站 Web 过 滤 
| 邮件 过 潍 
四 FTP 过 小 
中 应 用 控制 


记录 日 志 
开启 策 连 会 话 流量 统计 
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域内 或 域 间 应 用 IPS 策 略 时 ， 如 果 该 条 IPS 策 上 略 疫 有 编译 或 者 自 上 次 编译 后 有 修改 ， 会 
触发 USG5000 编 译 所 有 IPS 策 略 。 


USG5000 不 支持 在 Locql 域 内 和 包含 Locql 的 域 间 应 用 IPS 策 略 。 


@ 目录 


:入侵 检 剖 与 防御 基础 
. 入 侵 检 疯 与 防御 技术 
. 入侵 检 剖 扩 术 应 用 -NIP IDS 
. 入 侵 防 御 技 术 应 用 -UTM IPS 
4.1 IPS 功 能 介绍 
4.2 IPS 典 型 组 网 配置 
4.3 IPS 特 性 配置 
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IPS 特 性 配置 


。 IPS 预 定义 签名 查询 、 统 计 计 数 清除 


扩 击 查询 当前 签名 的 具 
体 信息 


预定 义 签名 列表 
从 别 新 国 着 全 部 命中 次 数 国 高 级 查 尊 
D 名 称 
24485 ec He Gen Pr ~ oo er 
RE nt oe 可 以 根据 签名 上 或 者 签名 属 
24447 tom Infecls cd Morto ny Aci 性 的 组 合 条 件 次 询 签名 
24442 Atack Apple FICT fle PnStze CY 
43 System Intecte dWY32 Pilleuz Activity 
Web ANack Rallcous ZIP fe dow 
Web ANacx IBM Loths Domino C 
ystem Infected Malltious File D 0-s 
2 i@n 各 
242 清除 所 有 预定 义 签名 的 全 ever oror 
2 sefver error 


3 





display ips signature { sig-id | pre-define } 
resetips signature statistic { Ye-O | all} 





< Ra 
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。 预定 义 签名 


包含 在 USG5000 目 市 的 人 签名 库 中 ， 尊 兰 了 网 络 上 大 多 数 蠕虫 病毒 、 木 马 、 间 谍 程 序 
的 入 侵 特征 。 名 出 三 时 保存 在 ey 中 ， 可 以 通过 升级 IPS 版 本 来 更 新 。 大 约 
2000 条 左右 。 通 过 命令 或 Web 可 查看 签名 的 基本 信息 ， 不 能 查看 具体 的 特征 码 。 


命令 : display ips signature Pre-define 


。 自 定义 签名 


用 尸 已 知 芭 类 攻击 依靠 预定 义 签 名 无 法 检测 出 ， 可 根据 攻击 报 文 的 特征 及 实际 网 络 情 
况 编写 和 目 定义 签名 ， 从 而 快速 个 性 地 阻挡 攻击 。 最 多 文 持 226 条 上 自 定 义 签 


目 定 义 釜 名 查询 配置 


。 |IPS 自 定义 签名 查询 、 创 建 、 删 除 、 统 计 计数 清除 


新 建 一 条 自 定义 签名 量 圳 除 所 有 的 签名 的 命中 统计 计数 ， 包 


括 预 定义 签名 


根据 签名 ID 或 自 定义 签名 的 属 
性 组 合 条 件 查 查询 E js 正人 久生 吝 


Warmin9 modfied 
warming modtied 
Warning modified 


修 疏 这 等 全 的 配置 


删除 自 定义 签名 ( 待 删除 的 签名 ID 前 的 勾 
选 框 必须 选中 ) 清除 该 签名 的 命中 统计 计数 
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USG5000 支 持 查 看 自 定义 签名 的 协议 (Ct 命中 的 次 数 等 信息 ， 另 外 还 
Ca 签名 的 信息 。 
查看 方式 : 


。 USCo000 提 供 以 下 两 种 目 定 义 签名 
0 碍 看 所 有 上 自 定 义 签 名 列表 。 
0 查看 满足 指定 查询 条 be 义 签 名 列表 ， 查 询 条 件 包括 按 ID 查 询 和 按 组 合 条 件 


自 定义 签名 配置 


EE jose 


user_defined 


v UT™ 


基本 配置 请 选择 协议 
息 基本 配置 告警 
Pp 任意 方向 
二 对 象 
日 加 入 侵 防 御 
E 国 <1-65535> 
中 9 自 定义 签名 
9 协议 识别 
_。 第 略 
充 反 病 过 
合 Webjd 汪 











加 -1-65535> 


<1-999999> 字 节 


多 


A 





Ce NW HuUAWEI 





协 以 识别 结 采 查询 


。 IPS 协议 识别 结果 查询 


服务 类 型 
1 | 页 共 1 页 | 
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USG5000 支 持 多 种 常用 应 用 ER 并 提供 查询 协议 识别 结果 的 功能 。 


N 
Q 


cs 
RN 
~ 
~ 
RN 
OO 


IPS 全 局 查询 配置 


。 IPS 全 局 查询 、 配 置 


Secoway USG2220 


配置 全 局 参数 


入 侵 防 血 功 能 开关 Y 启用 
工作 模式 防护 模式 
特权 第 略 


o 额定 义 签名 . 入 食 防 御 策 略 列表 

0 自 定义 签名 宁 新 水 网 剧 新 

9 协议 识别 中 名 称 莘 述 

9 策略 protect IPS policy 


display ips global-configuration 
ips enable 

ips Mode { acitive | passive} 
Ips policy policy-name privilege 
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IPS 案 略 配 置 
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仿 
注意 : 对 策略 进行 操作 后 ， 一 定 要 执 全 按钮 才能 生效 。 因 “提交 ”上 比较 耗 


时 ， 最 好 所 有 修改 都 完成 后 再 执行 。 N 


cs 
RN 
~ 
人 
RN 
~ 


IPS 念 名 集 、 复 天 侈 名 配置 
。IPs 策 略 的 签名 集 、 柳 盖 签名 配置 


IPS 策 团 第 轿 杆 板 
修改 入 食 防御 策略 


名 称 t 
握 迁 IPS policy 


合 配 置 完成 后 青 务 必 点 击 应 用 。 


禾 曾 签名 引用 
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IPS 侈 名 集 评 细 配置 


。 IPS 策 略 的 签名 集 配 置 


汪 
姑 训 加 | 三 
泗 吕 型 加 


加 





category enable 
category category-name 
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的 
次 
呵 
Dy 
-| 
半 
了 0 
也 
IN 


当 所 有 选项 者 没有“ 开局” 时， 表示 该 等 
当 有 选项 开局 了 但 没有 指定 具体 的 值 扣 则 该 签名 集 不 包 任何 签名 。 如 下 图 : 


方 回 | 局 用 。 去 服 等 缠 去 宵 户 噶 性 总 万 加 


IPS 会 名 集 优先 级 的 调整 


。 同一 个 策略 下 的 签名 集 是 有 优先 级 的 ， 当 一 条 签名 同时 属于 该 策略 
下 的 两 个 签名 集 时 ， 该 策略 的 属性 为 前 一 个 签名 集 的 属性 ; 
。 签名 集 的 优先 级 可 调整 ， 调 整 后 要 记得 执行 “提交 按钮。 


目标 位 置 签名 集 名 称 
移动 方向 


移动 签名 集 
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IPS 复 天 仿 名 计 细 配置 


。 |P> 策 略 的 覆 兰 签名 查询 配置 


修改 覆盖 签名 


signature-set signature-set-name 
override-signature sig-id 


。 覆盖 签名 的 优先 集 高 于 签名 集中 的 签名 。 
。 若 覆 盖 签 名 中 引用 过 自 定义 签名 ， 当 修改 过 该 各 定义 竺 
在 策略 页 面 点 击 国 毛 好 按 钮 。 
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IPS 汞 略 模板 查询 配置 


。 PS 策略 模板 信息 查询 


摘 述 
默认 模板 。 该 模板 可 以 应 时 


web_server 
mail_server 
dns_server 
file_server 


9 协议 识别 
9 策略 > 
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总 结 


。 入 侵 检 测 及 防御 基础 知识 
。 入 侵 检 测 及 防御 技术 原理 
。 NIP 产 品 安 蔷 配置 方法 

。 UTM 产 品 IPS 功 能 配置 操作 
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teen (HIDS) 特点 的 是 ”? 
过 监视 和 分 析 主 机 的 审计 记录 和 日 志文 件 来 检测 入 侵 ; 


ei 
分 析 可 疑 对 象 ，; 


可 监测 系统 、 事 件 、Win NT 下 的 安全 记录 以 及 Unix 环 境 下 的 系统 记录 ， 从 中 发 
现 可 疑 行 为 ; 


\、 侦 听 主 机 的 端口 的 活动 ， 并 人 芷 特定 端口 被 访问 时 问 管理 呈报 警 ; 
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出 
三 
中 
和 
x 和 
i 


2、 下 列 属于 基于 主机 的 入 侵 检 疯 桑 统 (HIDS) 特点 的 是 ? 
A、 通过 监视 和 分 析 主 机 的 窗 计 记录 和 日 忘 文件 来 检测 入 侵 ; 


B、 主 要 用 于 实时 监控 网 络 关键 路 径 的 信息 ， 侦 听 网 络 上 的 所 有 分 组 ， 采 集 数据 ， 分 
析 可 疑 对 象 ; 

C、 可 监测 系统 事件 、Win NT 下 的 安全 记录 以 及 Unix 环 境 下 的 系统 记录 ， 从 中 发 现 
可 疑 行为 ; 

D、 侦 听 主 栅 的 端 呈 的 活动 ， 并 在 特定 端口 被 访问 时 回 管 理 员 报警 

答案 : Al|GJD 


人 
av 
做 


www.huawel.com 


Thank you 





长 
te 
才 
疏 
[a 
闵 
区 
考 


第 三 





目标 


。 学 完 本 课程 后 ， 您 将 能 够 
了 解 计算 机 病毒 基础 知识 ; 
掌握 病毒 特征 及 常用 检测 工具 
掌握 网 关 防 病毒 主要 技术 ; 
掌握 网 关 防 病毒 技术 应 用 。 
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计算 机 病毒 基础 概述 
病毒 特征 及 弟 用 检测 工具 介绍 
网 天 防 病 毒 技术 介绍 
网 天 防 病毒 拉 术 应 用 
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计算 机 病毒 基本 概念 


。 计算 机 病毒 
Do 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 诗 
算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 被 称 为 计 
机 病毒 (Computer Virus) 。 
。 恶意 代码 
o 一 种 程序 ， 它 通过 把 代码 在 不 被 察觉 的 情况 下 灸 内 到 另 志 段 程 序 中 ， 从 
而 达到 破坏 被 感染 电脑 数据 、 运 行 具 有 入 侵 性 或 破坏 性 的 程序 、 破 坏 被 
感染 电脑 数据 的 安全 性 和 完整 性 的 目的 。 
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计算 机 病毒 具有 破坏 性 ， 复 制 性 和 传染 性 。 
木马 、 间 恋 软 件 、 蠕 虫 、 逻 辑 炸弹 、 漏 洞 和 用 程序 、 垃 圾 邮件 发 送 器 、 下 载 器 、 拨 号 
器 、 泛 洪 攻击 器 、 击 键 记录 器 均 属于 恶意 代码 。 
严格 意义 上 讲 计算 机 病毒 是 恶意 代码 的 一 种 ， 但 业界 习惯 用 计算 机 病毒 来 指 学 术 上 的 
恶意 代码 。 


计算 机 病毒 的 分 类 


。 按照 传播 机 制 分 类 : 可 移动 媒体 、 网 络 共 译 、 网 络 扫描 、 电 子 邮 传 
、P2P 网 络 ; Ds 


。 按照 感染 对 象 分 类 : 操作 系统 、 应 用 程序 、 设 备 ; 
。 按照 携带 者 对 象 分 类 : 可 执行 文件 、 脚 本 、 宏 、 引 导 区 ， 
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恶意 代码 的 分 类 方法 有 很 多 种 。 因 此 ,s 回 一 种 和 恶意 代码 可 能 有 多 种 不 同 的 分 法 。 


0 病毒 ， 属 于 恶意 代码 ， 是 附着 也 程序 或 文件 中 的 一 段 计算 机 代码 ， 以 自我 复制 为 
明确 目的 ， 它 可 能 损坏 硬件 、 软 件 和 信息 。 计 算 机 病毒 是 蓄意 设计 的 软件 程序 ， 
它 往往 寄生 于 计算 机 的 文件 中 ， 目 的 是 干扰 计算 机 操作 ， 记 录 、 毁 坏 或 删除 数据 
， 或 者 目 行 传播 到 其 他 讨 算 机 和 整个 Internet， 通 常会 减 慢 处 理 速 度 并 在 过 程 中 
造成 其 他 问题 ; 


0 蠕虫 蠕虫 是 一 种 通过 网 络 传播 的 恶性 病毒 ， 它 具有 病毒 的 一 些 共性 ， 如 传播 性 
、 隐 蔽 性 、 破 坏 性 等 等 ， 同 时 具有 目 己 的 一 些 特征 ， 如 不 利用 文件 寄生 (有 的 只 
存在 于 内 存 中 ) ,对 网 络 造 成 拒绝 服务 ， 以 及 和 黑客 拉 术 相 结 合 ， 等 等 ; 

0 森马， 特洛伊 木马 不 咎 认为 是 计算 机 病毒 或 蠕虫 ， 因 为 它 不 目 行 传播 。 但 是 ， 病 
毒 或 蠕虫 可 用 于 将 特洛伊 木马 作为 攻击 负载 的 一 部 分 复制 到 目标 系统 上 ， 此 过 程 
称 丸 “发 送 ”。 特 洛 伊 木马 的 通常 意图 是 中 断 用 户 的 工作 或 系统 的 正常 运行 。 例 
如 ， 特 洛 伊 木 马 可 能 在 系统 中 提供 后 门 ， 使 黑客 可 以 鹤 取 数据 或 更 改 配置 设置 。 

。 按照 传播 机 制 分 类 
0 有 可 移动 媒体 : 恶意 软件 最 初 的 、 使 用 最 多 的 传播 方式 
0 网 络 共 至 : 可 以 复制 到 大 量 与 网 络 连 接 的 计算 机 上 


病毒 程 友 的 组 成 


。 感染 标记 

。 感染 程序 模块 
破坏 程序 模块 
触发 程序 模块 。 
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病毒 是 一 种 基于 硬件 和 操作 系统 的 程序 ， 上 共有 感染 和 破坏 能 力 ， 这 与 病毒 程序 的 结构 
有 关 。 

病毒 攻击 的 宿主 程序 是 病毒 的 栖身 地 ,已 是 病毒 传播 的 目的 地 ,又 是 下 一 次 感染 的 出 发 
尽 


病毒 感染 目标 可 归纳 如 下 : 硬盘 系统 分 配 表 扇 区 ( 主 引 导 区 )、 硬 盘 引 导 房 区、 软盘 引 
导 扇 区 、 可 执行 文件 (.exe)、, 命 令 文 件 (.com)、 有 覆盖 文件 (.ovl)、COMMAND 文 件 、 
IBMBIO 文 件 、IBMDOS 文 件 s 


A 三 .rt 

病毒 感 

”计算 机 病 和 感染 的 一 般 过 和 为 
o ” 当 计 算 机 运行 染 毒 的 入 主 程序 时 ， 病 毒 夺 取 控 制 权 ; 
0 pet 
o 将 病毒 程序 能 入 感染 目标 中 。 


WW HuAwel 
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计算 机 病毒 的 感染 过 程 与 生物 学 病毒 的 感染 过 程 非常 相似 ， 它 寄生 在 宿主 程序 中 ， 进 


入 计算 机 并 借助 操作 系统 和 宿主 程序 的 运行 ， 复 制 自 喘 、 大 量 繁殖 。 


青虫 《WORM ) 


。 蠕虫 是 一 个 能 传染 自身 拷贝 到 另 一 全 计算 机 上 的 程序 
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蠕虫 的 工作 方式 
。 蠕 虫 的 工作 方式 一 般 是 “扫描 -攻击 一 复制 ， 


ER 有 些 蠕 虫 给 出 确定 的 地 址 范围 ， 
随机 生成 还 有 一 些 给 出 倾向 性 策略 ， 用 于 
IP 地 址 产生 某 个 范围 内 的 IP 地 址 \4 


虚线 框 内 的 所 有 工人 


有 工作 
地 址 探测 可 以 在 一 个 数据 包 内 完成 


攻击 、 苇 染 
现场 处 理 
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需 虫 与 病毒 之 间 区 列 及 联系 


复制 机 制 插入 到 宿主 程序 (文件 ) 中 自身 的 拷贝 KX 


传染 机 制 宿主 程序 运行 系统 存在 漏洞 
(Vulnerability) 
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一 般 情况 下 ， 病 毒 是 依据 其 能 够 进行 自我 复制 即 传 染 性 的 特点 而 定义 的 ; 

特洛伊 木马 主要 根据 它 的 有 效 载体 ， 或 者 其 功能 来 定义 ， 更 多 情况 下 是 根据 其 意图 来 
定义 的 ; 

木马 一 般 不 进行 自我 复制 ， 但 县 有 寄生 性 ， 如 捆绑 在 合法 程序 中 得 到 安装 、 启 动 木马 
的 权限 ，DLL 木 马 甚 至 采用 动态 人 敬 信 技术 寄生 在 合法 程序 的 进程 中 ; 


木马 一 般 不 具有 普通 病毒 所 具有 的 自我 繁殖 、 主 动感 染 传 播 等 特性 ， 但 习惯 上 将 其 纳 
入 广义 病毒 ， 也 残 是 说 ， 本 马 也 是 广义 病毒 的 一 个 子 类 ; 


木马 与 合法 远程 控制 软件 (如 PCAnyWherei) 的 主要 区 别 在 于 是 否 具 有 隐蔽 性 、 是 否 具 
有 非 授权 性 。 


特洛伊 木马 的 结构 


。 木马 系统 软件 一 般 由 木马 配置 程序 、 控 制程 序 和 木马 程序 (服务 器 程 
序 ) 三 部 分 组 成 


与 


木马 程序 


木马 服务 器 木马 控制 BR 从 户 疹 ) 
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特洛伊 木马 的 基本 诛 理 


运用 木马 实施 网 络 入 侵 的 基本 过 程 


控制 端 Internet 


由 信息 反馈 与 


加 建立 连接 上 


所 
ownn 时 四 上 洒 
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竺 过 程 : 


服务 端 


Page 14 


黑客 利用 木马 配置 工具 ,生成 一 个 本 马 的 服务 端 ; 


通过 各 种 手段 (如 Spam, Phish, Worm 等 ) 安 
利用 社会 工程 学 ,或 者 其 它 拉 术 手段 使 得 木马 
木马 窃取 用 户 隐 私信 息 发 送 给 黑客 
同时 允许 黑客 控制 用 月 终端 。 


流 到 用 户 终 


运 1 


辣 ; 





WW HuAwel 


@ 目录 


计算 机 病毒 基础 知识 
.病毒 特征 及 常用 检测 工具 介绍 
网 天 防 病 毒 技术 介绍 


网 天 防 病毒 拉 术 应 用 
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见 病 毒 行 为 特征 


下 载 与 后 门 特性 ; 
信息 收集 特性 ; 
目 身 隐 茂 特 性 ， 
文件 感染 特性 ; 
网 络 攻 击 特性 ; 


无 论 病毒 在 系统 表现 形式 如 何 … 
我 们 需要 关注 的 是 病毒 的 隐 性 行为 | 
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病毒 感染 系统 后 ， 无 疑 会 对 系统 做 出 各 种 修改 和 破坏 。 有 时 病毒 会 使 受 感染 的 系统 出 
现 自动 弹出 网 页 、 占用 高 CPU 次 源 、 自 动弹 出 /关闭 窗口 、 自 动 终止 某 些 进程 等 各 种 不 正 
常 现象 。 


下 载 与 后 | ] 特 性 


。 利用 IE 控件 的 下 载 器 病毒 


Hle Qptions Yiew Process Fnd Hande Users Hep 
| 加 四 | 本目 图 间苗 XI 的 的 力 | 
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。 下 载 特性 

很 多 木马 、 后 门 程序 间谍 软件 会 自动 连接 到 Internet 某 Web 站 点 ， 下 载 其 他 的 病毒 文 
件 或 该 病毒 自身 的 更 新 版 本 /其 他 变种 。 
。 后 门 特性 

后 门 程序 及 很 多 木马 、 A 染 的 系统 中 开局 并 侦 听 某 个 端口 ， 人 允 
许 远 程 亚 意 用 户 来 对 该 系统 进行 远程 操控 ; 


青 况 下 ， 病 毒 还 会 自动 连接 到 某 IRC 站 点 某 频 道中 ， 使 得 该 频道 中 特定 的 恶意 用 
户 远程 访问 受 感 染 的 计算 音 机 。 


一 种 利用 IE 探 件 的 下 载 器 病毒 示例 : 


通过 Process ExBlerer 发 现 有 一 个 Internet Explorer 进 程 ， 但 是 计算 机 并 没有 开局 |E 程 
序 ， 并 且 计 算 机 中 没有 合法 程序 中 包含 IE 控件 ， 则 计算 机 中 有 可 能 存在 下 载 器 病毒 。 





言 四 收 集 特性 -Stealer 


。 信息 收集 特性 
0 QQ 密码 和 聊天 记录 ， 
o 网络 游戏 帐号 密码 ， 
o 网 上 银行 帐号 密码 ，; 
o 用户 网 页 浏览 记录 和 上 网 习惯 ; 
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大 多 数 间 谍 软 件 和 一 些 木马 者 会 收集 系统 中 用户 的 私人 信息 ， 特 别 是 各 种 帐号 和 窗 码 。 
收集 到 的 信息 通常 都 会 被 病毒 通过 自 带 的 SMTP5| 擎 发 送 到 指定 的 某 个 指定 的 邮箱 。 


自身 隐藏 特性 -Hide&Rootkit 


。 目 身 隐藏 特性 
。 多 数 病毒 会 将 自身 文件 设置 为 “隐藏 ”、“ 系 统 ”和 “只 读 ” 属 性 ， 
更 有 一 些 病毒 会 通过 修改 注册 表 来 实现 对 系统 的 文件 夹 访问 权限 妃 / 
示 权 限 等 进行 修改 ， 以 使 其 更 加 隐蔽 不 易 被 发 现 。 
。 RootKit 技 术 


5 是 一 种 躲避 方式 ， 该 技术 采用 接管 底层 API 的 方式 使 得 用 只 专 法 通 
源 管 理 器 等 常规 方式 查看 病毒 文件 、 可 疑 的 套 接 字 等 系统 和 偏 息 。 





Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved: Page 19 HUAWEI 


有 一 些 病 毒 会 使 用 Rootkif 技 术 来 隐藏 具 身 的 进程 和 文件 ， 使 得 用 户 更 难以 发 现 。 使 用 
Rootkit 技 术 的 病毒 ， 通 常 都 会 有 一 个 .3YS 文 件 加 载 在 系统 的 驱动 中 ， 用 以 实现 Rootkit 技 
术 的 隐藏 功能 。 


Rootkit 示 例 


。 RootKit 是 一 种 躲避 方式 ， 本 身 并 没有 任何 危害 。 


=] I TT 
~ = mm | | Fyoceses | Mocsdes | Servicns | Maemt Foctlz |cMD | Seor| Leo | 
Om > 5a 2 mm 上 -Foues (TH rm [pe | 


VC VWINDDWSVaynien3ZZvxfiepro spe ZrE masteh.ey 
Gearma View | Fie Typez] owne Pans| VC WWIND DOW/S \aysten 3 Zapo sys ZE mverle/ ashley 
Wis ie $s ) ,| a re ps 
SD VC WINDDWSVaosien3CZxfiapo ys 
和 CYWINDOWS sytem 322 po hv 1 hden 一 ) @ CWIN 
1 CIProgkanm FleaWGEWMek exe [一 dien ™ pe 
Hee io Aouers | _ Beset Ma fcr py S VANDX OWS sphem TZ dre fr hidden ™ ) @ CAWIN .CONTADOOD 
Widowsupsmma2vpfiwirn A hdhen ™ ) @ CAWINOOW .Ox10000000 
5 oaon Fees WUrierret Exphoref vershone exe [hvdden 一 ] 1728 
CVWNDOWSVywen3zZehazo 本 [一 hdden 一 ] 钱 CPiogs .O0000000 
CYWANDOWS phen ZA Gv hidden ™ )@C Peg. 000150000 
CYMNDOWS ptemI2 2 Ameo Gv hddm 一 ) 人 Ceepti CAABOOO 
CVWNDOWSWywen32ahaico et hedden ™ ) MMU ) dopo 





[Dos you want to fy scan your svatermm 了 


CE 
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看 上 图 ( 左 ) ， 用 户 无 法 在 资源 管理 器 中 看 到 KGB 文 件 来 ， 甚 至 将 系统 设置 为 显示 任 
何 隐 藏 文件 ， 还 是 无 法 看 到 KGB 这 个 文件 夹 ,但 是 通过 专业 RootKit 查 看 工具 GMER 或 者 
lceSword 却 能 看 到 这 个 文件 夹 存 在 ， 则 说 明 该 计算 机 中 存在 ROOtKit 利 用 。 


文件 感染 特性 -Infector 


。 文件 感染 特性 
。 文件 型 病毒 的 一 个 特性 是 感染 系统 中 部 分 /所 有 的 可 执行 文件 ; 
。 病毒 会 将 恶意 代码 插入 到 系统 中 正常 的 可 执行 文件 中 ， 使 得 系统 MK 
文件 被 破坏 而 无 法 运行 ， 或 使 系统 正常 文件 感染 病毒 而 成 为 病毒 体 ; 
。 有 的 文件 型 病毒 会 感染 系统 中 其 他 类 型 的 文件 。 
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网 络 攻击 特性 -Attacker 


。 网 络 攻 击 
o ”蠕虫 病毒 会 针对 微软 操作 系统 或 其 他 程序 存在 的 漏洞 进行 攻击 ， 从 而 
致 受 攻击 的 计算 机 出 现 各 种 异常 现象 ， 或 是 通过 漏洞 在 受 攻击 的 计 
上 远程 执行 恶意 代码 。 
o 木马 和 蠕虫 病毒 会 修改 计算 机 的 网 络 设置 ， 使 该 计算 机 无 法 访 J 


甚至 通过 散布 虚假 网 关 地 址 的 广播 包 来 欺骗 网 络 中 其 他 
得 整个 网 络 瘫痪 。 


>, 
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第 见 病 毒 传播 途径 一 电子 邮件 


。 HHTML 正 文 可 能 被 散 入 恶意 脚本 ; 

。 邮件 附件 携带 病毒 压缩 文件 ; 

。 利用 社会 工程 学 进行 伪装 ， 增 大 病毒 传播 机 会 ; 
。 快捷 传播 特性 。 


Se 
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第 见 病 毒 传播 途径 一 网 络 共 


。 病毒 会 搜索 本 地 网 络 中 存在 的 共享 ， 包 括 默 认 共享 
IPC$,E$ ,D$,C4; 


通过 空 口令 或 弱 口 令 猜测 ， 获 得 完全 访问 权限 ， 
病毒 自 带 口令 猜测 列表 ; 

将 目 身 复制 到 网 络 共享 文件 夹 中 

通 弟 以 游戏 ,CDKEY 等 相关 名 字 命 名 。 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved:’ 


， 如 ADMIN9 ， 


\4 


WW HuAwel 





第 见 病 毒 传播 途径 一 P2P 共 皇 软 件 


。 将 自身 复制 到 P2P 共 享 文件 夹 ; 

。 通常 以 游戏 ,CDKEY 等 相关 名 字 命 

。 通过 P2P 软 件 共享 给 网 络 用 户 ; 

。 利用 社会 工程 学 进行 伪装 ， 诱 使 用 户 下 载 。 


谢 由 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved:’ 


WW HuAwel 





第 见 病 毒 传播 途径 一 系统 漏 凋 


。 由 于 操作 系统 固有 的 一 些 设 计 缺 陷 , 导 致 被 恶意 
利用 后 ,可 执行 任意 代码 ,这 就 是 系统 漏洞 。 


。 病毒 往往 利用 系统 漏洞 进入 系统 , 达到 传播 的 目的 。 XK 
。 一 些 大 家 熟知 的 漏洞 : 

o RPC-DCOM 缓冲 区 溢出 {M5303-026) 冲击 波 ; 

o LSASS (MSO04-011) 震荡 波 。 
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第 见 病 毒 传播 途径 一 广告 软件 /灰色 软件 


于 广告 软件 /灰色 软件 的 定义 ， 它 们 有 时 候 是 由 用 户主 动 安装 ， 更 
的 是 与 其 他 正常 软件 进行 绑 定 。 


ULtragdit (必须 ) 
[v| 安装 tracompare Pro 3.00a (可 选 ) 
[Y] 安装 UEHelper 1.1.1 (可 选 ) 
[] 创建 开始 菜单 组 (可 选 ) 
[] 创建 快捷 启动 栏 图 标 (可 选 ) 
Iv] 创建 桌面 图 标 (可 选 ) 
加 安装 CNNIC 中 文 上 网 呵 选 ) 
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一 其 他 


与 正常 软件 捆绑 ; 
用 户 直 接 运 行 病毒 程序 ; 
由 其 他 恶意 程序 释放 。 
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目前 大 多 数 的 木马 、 间 谍 软 件 等 病毒 都 是 人 遂 过 这 几 种 方式 进入 系统 。 它 们 通常 都 不 具 
备 传播 性 。 


单 用 工具 介绍 -TCP View 


。 TCP View 功能 
o 查看 系统 的 网 络 连接 信息 (远程 地 址 ,协议 ,端口 号 ); 
o 查看 系统 的 网 络 连接 状况 (发 起 连接 ,已 连接 ,已 断 开 ) ; 
o 但 看 进程 打开 的 端口 ; 
动态 刷新 列表 
多 用 于 查看 蠕虫 ,后 门 ,间谍 等 恶意 程序 。 
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常用 工具 介绍 -TCP View 


TCPYView - Sysinternals: www.sysinternals.com 


Fie Options Process View Help 


地 IEXPLORE.EXE:1... 
2 IEXPLORE .EXE:1... 
CC lass exe:B64 

lsass exe:664 


Ba OUTLOOK.EXE:800 TCP 
9 OUTLOOK.EXE:800 TCP 
By OUTLOOK.EXE:800 TCP 
9 OUTLOOK.EXE:800 TCP 
BA OUTLOOK.EXE:800 TCP 
ye OUTLOOK.EXE:800 TCP 


svchost exe:1052 
svchost exe:1052 
Svchost exe-1100 
svchostLexe1100 
svchost exe-1100 
svchostLexeB64 

svchost exe-864 
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winxp. infect trend... 
winxpisakmp 
:1030 


winxp:1191 
winxp:1192 
winxp: 1194 
winxp. infect trend 
winxp. infect trend 
infect trend 


winxp. infect trend 
winxp:epmap 
wirmxp:epmap 


winxp:O 
winxp:0 
winxp:0 
win2kas:epmap 
win2kas:1026 
win2k as:1026 


LISTENING 
SYN_SENT 


LISTENING 
LISTENING 
LISTENING 
ESTABLISHED 
ESTABLISHED 
ESTABLISHED 


LSTENING 痛 者 向 用 QutLkoolks 
秘 ( 闫 考 带 与 人 


LISTENING 





常用 工具 介绍 一 Process Explorer 


*. Process Explorer Sysinternnls: wwvw, sysinternnals. conm [CHINA\y00106494] 


加 | 关 | 本 日 忆 上 让 X|i@ . 
PID cpy 肖邦 使 用 ”篇 述 
0 93. 84 28 天 
4 55 kk 
na 1.54 
1396 < 0.01 


进程 
下 系统 交 闲 进程 
= 二 systen 
中断 K Hardmre Interrupts snd DPCS 
- 四 jmsxs 有 入 全 654 KRindows WT Session Manacer 
CESS, exe 1468 18, 072 KClient Server Runtine Process 
i axe 1500 < 0. 01 5, 856 Kk Nindows WT Logon Application 


Microsoft Cor 
己 emvices. 自习 让 1548 /928 K Services nd Controller app 
| 


Microsoft Co 
Microsoft Cor] 
Microsoft Cor) 
AuthenTec, In, 
Microsoft Cor) 
Microsoft Cor) 


入 htService Xe 1748《 0. 01 498 K AFSS Service 
| 书 ]svchost exe 1760《 0.01 ,S04 K Generic Host Process for Min32 ,,, 
Piprrse exe ,T1365 用 


svebost. exe 

书 ]swchost 和 全 
svychost. exe 
Snc, eze 
svchost. exe 
S¥chost. exe 


400 < 0. 01 
S24 < 0.01 


,804 KX Generic Host 
,S92 K Generic Host 


204 Kk Generic Host 


» 00 K Sreate AEent 
1464 KGeneric Host 
,244 kK Generic Host 


Process for Win32 ,,, 
Process for Min32 ... 
Process for Win32 .,. 


Firewall 


Process for Win32 ,,, 
Process for Win32 .，- 


Nicrosoft Cor) 
Microsoft Cor) 
Microsoft co 区 
赛 属 特 (Sy 


992 X Symantec Settings Jarager Service 
cecEviNMer exe 1328 272 K Symaniec Event Manager Service 
SPBBCSvC_ exe 1892 < 0.01 272 X SPBEC Service 

局 四 了 ETEYTSYC BE 1304《 0.01 100 xX 人 
外 BCWNLTRY. EXE 2765 < 0 01 ,$64 K Dell Wireless WLAN Card Wireles, Doel Inc 
poolsy. exe 500 1995 K Spooler SubS7sten App Y NCon 
EMCEY, ee 584 < 0.01 650 K IDT PC Audio 

EstControlse, 也 1152《 0.01 104 K Host Control Application 

ststoraeese, NT i1176 < 0.01 104 K Host Storage Application 

crasvr [2 535 < 0.01 112 X Snart Card Kesource 

sebost, 人 244《 0.01 116 Kk Ceneric Host Process for 

Sanater. exe 1444 < 0.01 4, 328 K SNanagar Application 

ispl eobileDe. sib 2644 0.77 512 X MobileDevicaSe ice 
ATF_SIVS. erg < 


CPU 使 用 : 65. 15% ”提交 负荷 ; 44.61% 进程 ，75 物理 内 存 使 用 ; 74. 86% 


ceSetHer. ere 1236 < 0.01 


Symantec Corp 


， Microzsoft Cor) 
Smith Micro % 
pple Inc, 
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Process Explorer 功 能 
0 显示 被 执行 的 映像 文件 的 完整 路 径 ; 
o 显示 进程 安全 令 牌 ; 
o 加 亮 显示 进 程 和 线程 列表 中 的 变化 ; 
o 显示 作业 中 的 进程 ， 以 及 作 烛 的 细 玉 
0 显示 运行 .NET/WinFX 应 用 的 进程 ， 以 及 与 .NET 相 天 的 细 广 ; 
0 ”显示 进程 和 线程 的 启动 时 间 ; 
0 显示 内 存 映射 文件 的 完整 列表 ; 
o 能 够 挂 起 一 个 进程 或 杀 死 一 个 线程 。 


常用 工具 介绍 -Regmon 


Registry Monitor - Sysinternals: www,Sysinternals.com 
File Edt Options Hep 
| 回 芒 | 车 忆 几 | 守 早 | 的 入 | 


HKLMVSOFTWARE\DDBCAWODBCINI\DDBC NOT FOUND 
HKCU\VSOFTWARE\DDBCODBCINIVDDBC NOT FOUND 
HKLMAVSOFTWAREVDDBCAODBCINI\ODBC NOT FOUND 


MELM So Aco noo \LUNenNIV ersion FUN "ccess Uo UUS 
HKLM\Soltwase\Microsoft\Windows\Cunentyersion\Run SUCCESS 
HKLM'Software\Mictosolt\Windows\CunentVersion\ RunServices BHCCESS 
HKLM\Software\Mictosoft\Windows\CurreniVersion\RunSetvices i 

HKLM\Soltwae\Miciosolt\OLE 

HKLM\Software\Mictosoft\OLE 

HKLM\SYSTEM\Dune Cabos econo sa 


HKLM\SYSTEM\CuneniConbotSot\ConoNLsa 
TD OO OM OO 


HKOU\Software\Microsolt ‘Windoms DumentVersion\Run SUCCESS 
HS ofr esosoh nd ene cee SHESS 


HKCU\SowaseMicrosoliWindoma\CuneniVeion\RinSevices SUCCESS 
HKOU\S cfrere Micsosoft\OLE SUCCESS 


HKCU\S oftware\Microsolt\OLE SUCCESS 
HKCU\SYSTEM\CurmeContiolS el\Corol\Lsa NOT FOUND 
HKCUNVSYSTEM SUCEESS 
HKCU\SYSTEM\CunentConbolSet SU0 区 SS 
HKCU\SYSTEM SHELESS 
HKCU\SYSTEM\CunentContiolSet\Conkrol SUCOESS 
HKCU\SYSTEM\CunetConboiSet SUCCESSG 
HKCU\SYSTEMV\Curmen#ContiolSel\Contol\Lsa 和 
PEGSYS TE MA moni enheS etoneol S 


HKLM\Soltware\Microsoft\Apc\PagedBullers NOT FOUND 
HKLM\Software\Mictosoft\Rpe , SUCCESS 





。 Regmon 主 要 功能 
0 监视 系统 中 注册 表 的 操作 :; 
o ”如 注册 表 的 打开 , 写 入 , 读 取 ,查询 ,删除 ,编辑 等 ; 
0 多 用 于 监视 病毒 的 目 局 动 信息 和 方 陈 。 


File MonNitor - Sysinternals: www.sysinternals.com 


Yolmes Help 








以 车 书 |@@| 可 晤 | 


11-22 12 AM SVCHOST EXE.13965 


11:2212AM SVCH0ST,EXE:1396 
11:2212AM 
11:2212AM 
11-22.12 AM 
11:22.12 AM 
11:2212 AM 
11:2212 AM 
11:22.12 AM 
11:22.12 AM 


Wnlogon. exe 595 

SVCHOST.EXE:1395 
SVCHOST.EXE:1396 
SYCHOST.EXE:1396 


NM 


11:2212AM 
11:2 人 12AM 
112212AM 
11-22.12 AM 
11:2212 AM 
11-22.12 AM SVCHOST.EXE:1396 
11:22.12 AM 
11-22.12 AM 
11:22:12 AM 
11:22.12 AM 
11:22.12 AM 
11:2212AM 
11:2212AM 
11:2212 AM 
11-22.12 AM 
11:2212AM 
11:2212AM 


5YVCH0ST.EXE:1396 
SVCHOST.EXE:1396 
SVCH0ST.EXE:1396 
wnlogon. exe S96 
SVCHOST.EXE:1396 
SYVCHOST EXE:1396 
SVCHOST EXE:1396 
SVCHOST EXE:1396 
SVCHOST EXE:1396 
SVCHOST EXE:1396 
SVEHOST EXE: 1396 
11-22.12 AM SVCHOST EXE:1396 
11:2212 AM 7 
11:2212AM 
11:2212AM 
11:2212 AM 
11:22.12 AM 
11:22.12 AM 
11:22.12 AM 


一 
一 
-一 
一 
-一 
二 一 
一 
一 一 
一 
一 
一 
一 一 
一 
-一 
-一 
一 一 
一 
-一 
-一 
-一 
一 
-一 
一 
一 一 
一 一 
-一 
一 
一 
二 一 
-一 
一 


Filemon 主 要 功能 
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见 文件 系统 的 操作 :; 


4 四 


QD UERY INFORMATION 


OPEN 

DIRECTORY 

READ 

QUERY INFORMATION 
DUERY INFORMATION 
DUERY INFORMATION 
SET INFORMATION 
DIRECTDORY 

QUERY INFORMATION 


SET INFORMATION 
DIRECTORY 


SET INFORMATION 


OPEN 

DIRECTORY 

CLOSE 

DIRECTORY 

OFPEN 

DUERY INFORMATION 
QUERY INFORMATION 
QUERY INFORMATION 
QUERY INFORMATION 
QUERY INFORMATION 
QUERY INFORMATION 
OPEN 

DIRECTORY 

QUERY INFORMATION 
QUERY INFORMATION 
DUERY INFORMATION 
SET INFORMATION 
DIRECTORY 

DUERY INFORMATION 


SRFT INFNAMATINN 


0 ”如 建立 文件 ,打开 文件 , 写 文件 ; 


5 ” 读 文件 , 查 


查询 文件 信息 等 ; 
多 用 于 查找 Dropper 的 主体 程序 。 


Pa 3 | Res 


CN\ YE TROY sw CN co q\SVCHOST EXE 
Es \WINDOWS\System32\ 

CWWINDOV/S\system32 
CWINDOWS\system32\kemeD2 dl 
CWINDOWS\System32\SVCHOST.EXE 
CWINDOWS\System32\SVCHOST.EXE 
C\_veus\TROJ_LEGMIR.CN\chuanq\SYCHOST_ EXE 
CWAINDOWS\System32SVCHOST EXE 
CWINDOWS\system32 


C\ vieus\T ROJ LEGMIR.CN SVCHOST EXE 


4DU shedr H 
CSWINDOW'SVSystem32ASVCHOST EXE 
CAWINDOWSNsystem32 
C:\_vrus\TROJ_LEGMIR.CN\chuanqg\SVCHOST EXE 
CNWINDOWS\System32kSVCHOST EXE 
C:\WWINDOWS\System32\SVCHOST EXE 
CNwWINDOW'S\System32\SVCHOST EXE 


CWINDOWS\System32\ 

CWINDOWS\System32\ 

CWINDOWS\System32\ 

CWINDOWS 
C\_vieus\TROJ_LEGMIR.CN\chuanq\SVCHOST_ EXE 
CN\_veus\TROJ_LEGMIR CN\chuanq\SVCHOST EXE 
C\_veus\TROJ LEGMIR .CN\chuaeng\SVCHOST EXE 
C\_veus\TROJ LEGMIR CN\chusng\SVCHOST EXE 
CN\_vrus\TAROJ_LEGMIR CN\chuanq\SVCHOST EXE 
C\_vrua\TROJ_ LEGMIR CN\chuang\SVCHOST EXE 
CA MaeATP9， LEGMIR SA OST EXE 


te NWINDOWS\System32\ 
CWINDOWS \system32 
C:\WINDOWS\System32\0 btectsl \WIX 
CWINDOWS\System32\0blectsl WIX 
C\_veus\TROJ LEGMIR.CN\chuanqg\SYVCHOST EXE 
CWINDOWS\Syetem32\0bjectsl WIX 
CWAINDOWS\system32 

CA Yeus\TRO LEGMIR OM chuangi\ 


SOST EXE 


NDO T bwect 
福 TT ree Te 
A 


SUCCESS 


SUCCE SS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 


SUCCESS 
NO SUCH 
SUCCESS 
SUCCESS 
SUCCESS 
SUCCESS 





单 用 工具 介绍 -IceSword 


DR -ph 
We 


文件 转 久 插件” 外观 。 必 助 
三 多 入 uw 畴 


NT OS Kemel 
NT OS Kemel 
C:\Program Files\Intemet Explorer\IEXPLORE.EXE 
C:\WINDOWS\system32\ayg.exe 
RTHDCPL.exe C:\WINDOWS\RTHDCPL.exe 
口 mndiB2.exe C:\WINDOWS\system32\rundlB2.exe 
vy KAVStart.exe D:\Program Fies\Kingsoft\Kingsoft Internet Securkty\... 
C:\WINDOWS\system32\ctfmon.exe 
D:\Program Fles\DAEMON Tools Lte\daemon.exe 
D:\Program Files\Kingsoft\Kingsoft Internet Securty\,,. 
C:\Program Fies\Samsung\MagicK8D\MagicK8D.exe 
C:\Program Files\Samsung\MagicKBD\PerformanceMa... 
3 dmhkcore.exe C:\Program Files\Samsung\Easy Display Manager\dmh.,.. 0x862E8..， 到 e 22540k 
自 BTTray.exe C:\Program Files\WIDCOMM\Bluetooth Software\BT.., ,0Qx863F49E8 Ready 12744Kk 
加 svchost.exe C:\WINDOWS\system32\svchost.exe S22 O86461%, 7908k 
巴 ]svchost.exe C:\WINDOWS\system32\svchost.exe es oxs6686... 3588k 
加 Kissvc.ExE D:\Program Fies\Kingsoft\Kingsoft Internet Securty\... “0x86256 3300k 
SKMaiMon,EXE D:\Program Files\Kingsoft\Kingsoft Internet Security\,.. “0x56371... 2352k 
MDM.EXE C:\Program Files\Common Files\Microsoft Shared\VS7... oY 二 Gs 4216k 
巴 ]nvsvc32.exe C:\WINDOWS\system32\nvsvc32.exe M8 0x86286.,.. Ready 
四 svchost.exe C:\WINDOWS\system32\svchost.exe 8 0x8628E... Id 
* 


0x80562F20 Ready 
Ox8AG6EB... Ready 
0x862B82... Ready 
0x86433,.. Ready 
QOx862F4020 Readf 
0x862EF560 jd、 Se52k 
0x8640D... _ Read 人 ossk 
> 3828K 
10032k 
1200k 
、 6300k 
0x86322 ageady 2864k 


woDDDDDDDDDODDODDDDDOD DO 吓 
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进程 管理 

o 显示 隐藏 进程 ; 

o 杀 除 普通 方式 无 法 杀 除 的 进程 8 
注册 表 管 理 

o 显示 隐 沽 注册 表 项 ; 

。 修改 关 通 方式 无法 修改 的 涪 主 册 表 项 。 
文件 管理 

o 显示 隐藏 文件 ; 

o 删除 普 通 方式 无 法 删除 的 文件 。 


目录 


计算 机 病毒 基础 知识 
病毒 特征 及 常用 检测 工具 介绍 
.网 关 防 病毒 技术 介绍 
网 关 防 病毒 技术 应 用 
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网 关 防 病毒 主要 买 现 方式 


。 基于 代理 的 反 病 毒 网 天 : 
。 基于 流 扫 摘 的 反 病 毒 网 天 : 
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目前 设备 厂商 (包括 UTM、AVG) 的 AV 扫 摘 方式 ， 分 为 两 种 : 流 扫 摘 方式 和 代理 扫 
描 方式 。 
。 基于 代理 的 反 病 毒 网 天 : 
0 实现 原理 : 将 所 有 经 过 网 天 的 需要 进行 病毒 检 测 的 数据 报 文 透明 的 转交 给 网 天 自 
喘 的 协议 栈 ， 通 过 网 关 目 号 的 协议 栈 将 文件 全 部 缓存 下 来 后 ， 表 送 入 病毒 检测 
5| 擎 进行 病毒 检 疯 ; 
0 优 缺 点 : 可 以 进 每 更 多 如 解压 ， 脱 这 等 高 级 操作 ， 检 疯 率 高 ， 但 是 ， 由 于 进行 了 
文件 全 缓存 ， 其 性 能 系统 开销 将 会 比较 大 。 
。 基于 流 扫 摘 的 反 病毒 网 天 > 
0 工作 原理 : ` 依 赖 于 状态 检测 技术 以 及 协议 解析 拉 术 ， 简 单 的 提取 文件 的 特征 与 本 


地 签名 库 进 行 匹 配 ; 
o 优 缺 点 :性 能 高 ， 开 销 小 ， 但 该 方式 检测 率 有 限 ， 无 法 应 对 加 壳 、 压 缩 等 方式 处 


理 过 的 文件 。 


反 病 毒 引擎 的 典型 技术 


文件 识别 技术 
脱 这 技术 
解压 技术 
静态 识别 技术 


动态 虚拟 机 技术 


Scanstfiles 


> 


、 
p> 四 
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二 

六 

| 

二 

PN 

» 

“、、 
i 
A” 


文件 上 识 列 扩 林 


。 如 何 去 识 别 一 个 文件 的 类 型 ? 
。 为 什么 要 去 识别 一 个 文件 的 类 型 ? 
过 文件 后 级 名 识 列 是 否 可 靠 ? 
00000010hy FF F7 84 42 C3 4A 18 14 00 gc 3 FT 


和 


经 当 错 列 , 3: 鸭 3 有 | 

站 :和 和 

: 扩 . 挫 六 久 。 狗 ? 
;六 验 .? 色 s 刘 .c? 
jg 入 ?Q 无 只 


00060020h: 9E 85 AS BE EF B88 Ci 

00000000h: 直下 FF FF 00 

0000001i0h: ( 00 00 00 4 ( 00 00 00 

00000020h: 00 00 00 

00000030h: ) { 0 ES 00 

00000040h: CD 21 54 ; ..?.322L3Tb 芒 上 环 愉 Q. 亚 5? 

00000050h: 61 6E :3 Progrem canno 放 狗 Yo 端 ?. 锅 s 训 
44 53 20 ; t be run in DOS 是 韶 .< cvVRm?f? 

0 00 00 00 ; mode.... 0 ( :icy??.f.x 移 ? 
€3 B37 ;' .化 cb 否 cb 否 cb 否 7 7 E/Fs?. 续 =1?{M 
CA 62 87 ; D 次 驶 b 否 D 八 窒 b 否 1 0 ; 3.I 碍 YB)Q?I 诺 ? 
7A 37 ; 链 瑟 mb 否 烽 全 zb 否 ; 2z 锥 ?3! 姐 斤 镖 Xx,: 
26 62 B37 ; cb 恶 Bc 否 D 信 3?b 否 : ; uc 如) 溪 晓 第 杜 权 I 
62 62 37 F1 ; D 了 敌 b 否 D 代 到 b 否 ; : : 标 蔷 种 { 唑 荐 练 uz 
63 62 37 ; D 仁 驮 b 否 Richcb 否 7D E7 ET ; 骸 了) 琪 iR.M 和 所 
4C 04 00 ; a 梢 .) .i 本 

dd . ; .!?.; 卫 强 2 敦 ? 
) 0 ) ww2rrwr ~ - 和 著 il 销 ) 各 琢 束 3 

00 oo ; i Y 屏 <)2 荐 ?.Gq?] 
00 00 ; .. + 0 1 焰 趴 这 幼 吵 ? 任 ? 
00 
00 0 


已 


MO 0 hj 


Wh 
un 
"wwNNw. 


全 


om ~ 
II AN 
ma 小 
-9 


oO 
+ 入 


00000080h: 2 
00000090h : 
000000a0h: 
000000bOh: 
000000cOh: 
000000d0h : 


有 
人 四 
rm rn 吧 
OW 


00000120h: 
00000130h: 
00000140h: 
000001S0h: 


中 
OOS 


人 
OOoo 


OODO 
Oo 


Ok 
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识别 一 个 文件 的 类 型 ， 可 以 使 得 我 们 反 病 毒 技术 更 加 准确 可 靠 ， 如 : 一 般 的 病毒 很 可 
能 的 存在 于 PE 文件 中 (PE 文件 是 Windows 守 统 中 的 可 执行 文件 ， 如 EXE 文 件 就 是 PE 文件 中 
的 一 种 ) 

识别 一 个 文件 的 类 型 有 多 种 方式 根据 后 缀 名 和 根据 文件 的 真实 内 容 


后 缀 名 是 允许 用 户 修改 的 ， 所 以 璐 可 靠 ， 根 据 文件 真实 内 容 识别 更 加 可 靠 ， 文 件 真实 
关 型 的 识 有 一 般 可 以 由 文件 的 表 付 字 下 残 可 以 判断 出 。 


觅 元 技术 


壳 是 一 种 能 够 修改 恶意 代码 自身 特征 码 的 手段 。 
硬 脱 充 


动态 脱 充 
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恶意 代码 为 了 隐藏 目 己 通 单 会 加 区 。 

为 了 使 病毒 检 疯 引擎 能 够 检测 出 恶意 代码 中 的 特征 ， 病 毒 检测 引 合 不 得 不 进行 脱 充 工 
作 。 

脱 帝 分 为 硬 脱 这 和 动态 脱 帝 ， 硬 脱 训 ， 这 是 指 找 出 加 碗 软件 的 加 碗 算 法 ， 写 出 滥 同 算 
法 ， 就 像 压缩 和 解压 缩 一 样 。 由 于 加 吝 的 程序 运行 时 必须 还 原 成 原始 形态 ， 即 加 这 程序 会 
在 运行 时 目 行 脱 挥 “马甲”。 


解 庄 技 术 


。 文件 压缩 出 现在 网 络 的 各 个 位 置 ， 也 许 一 个 HTTP 普 通 网 页 请 求 惑 
可 能 是 利用 压缩 格式 将 数据 传 回 。 

。 对 于 压缩 过 的 文件 无 论 是 入 侵 检测 系统 还 是 病毒 检测 系统 都 无 法 证 
接 检测 。 
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评 态 识别 技术 


。 从 病毒 体内 提取 的 原始 数据 片断 ， 以 及 该 片断 的 位 置信 息 。 


4 所 
> 


。 抗 “特征 变 。 


。 精确 ， 误 报 少 ; 。 提取 自 病毒 体 ， 灌 捅 多 了 
。 快速 ， 静 态 分 析 。 病毒 出 现 ; | 
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动态 虚拟 机 技术 


。 虚拟 执行 的 概念 
o 提供 一 个 完全 模拟 X86 指 令 集 的 可 执行 受 管理 程序 的 执行 环境 ， 能 让 待 
令 测 的 程序 直接 在 该 环境 中 执行 一 些 指令 。 
。 虚拟 执行 的 分 类 
o 真实 环境 的 执行 
o 隔离 环境 的 执行 
o 虚拟 环境 的 执行 
。 为 什么 需要 虚拟 执行 1 


o 传统 的 静态 分 析 技 术 、 脱 壳 技 术 等 反 病毒 技术 已 郁 法 应 对 病毒 免 杀 技术 
的 发 展 
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多 目录 


1.， 计 算 机 病毒 基础 知识 
2. 病毒 特征 及 常用 检测 工具 介绍 
3， 网 关 防 病毒 技术 介绍 
4. 网 关 防 病毒 技术 应 用 
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网 关 防 病毒 (AV) 应 用 场景 


人 


! 建议 开户 防火 墙 、 防 ! 
! 御 、 护 病 竹 、 防 这 角 邮 作 ! 





当前 ， 网 络 安 全 威胁 的 性 质 已 发 生 很 大 的 变化 。 尽 管 传 统 的 L2-4 防火 墙 仍然 是 网 络 安 
全 的 必需 要 素 ， 但 以 入 侵 、 病 毒 为 代表 的 新 型 动态 攻击 正在 引发 前 所 未 有 的 破坏 。 这 些 攻 
击 不 仅 致使 传统 的 防火 墙 变 得 毫 无 用 武之 地 而且 还 需 不 断 更 新 攻击 数据 库 ， 才 能 进行 有 
效 防护 。 


USG5000 的 UIM 特 性 集成 Symaqantec 的 病毒 库 和 病毒 引擎 技术 ， 可 以 保护 网 络 ， 使 
其 远离 多 种 动态 威胁 ， 包 括 病毒 % 间谍 软件 、 蠕 虫 、 木 马 病 毒 、 后 门 和 其 它 恶 意 代码 等 


网 关 防 病毒 AV 功 能 列表 


支持 基于 HTTP/SMTP/POP3 协议 的 文件 病毒 扫描 
支持 对 压缩 加 壳 病 毒 的 检测 

支持 病毒 引擎 和 病毒 库 升级 

支持 病毒 扫描 和 协议 策略 的 热 备 

支持 透明 模式 和 混合 模式 下 的 病毒 扫描 

文 持 功能 /升级 年 限 的 license 控制 
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网 关 防 病毒 AV 配 置 思路 
& 
( 必 选 ) (可 选 ) 


配置 FTP 协 议 反 病毒 
me 
AV 配置 SMTP 协 议 反 病毒 
i (可 选 ) 
配置 POP3 协 议 反 病毒 
(可 选 ) 
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。 配置 垃圾 邮件 过 滤 全 局 参数 


当 需 要 在 邮件 过 滤 策 略 中 引用 垃圾 邮件 过 小 时 需要 配置 ， 内 容 包 括 : ”垃圾 邮件 过 滤 功 
能 全 局 开关 、 本 地 黑白 名 单 使 能 开关 、 碍 询 垃圾 邮件 服务 器 的 DNS 地 址 。 


。 创建 本 地 黑白 名 单 
当 需 要 在 垃圾 邮件 过 滤 中 使 用 本 好 黑 名 单 时 需要 配置 。 
。 配置 预定 义 策 略 


如 果 需 要 使 用 系统 预 置 的 ymantec 服 务 器 作为 RBL 服 务 器 进行 RBL 远 程 查询 ， 需 要 配 
置 预定 义 策略 。 


。 配置 目 定 义 策 略 
如 有 宁 需 要 使 用 自 定 义 的 服务 器 作为 RBL 服 务 器 进行 RBL 远 程 碍 询 ， 请 配置 目 定 义 策 略 。 


怒 置 AV 全 局 参数 


配置 全 局 参数 
AV 功 能 
扫描 等 级 
最 大 解压 层 数 
安全 改善 计划 


合 参与 安全 改善 计划 后 ， 设 备 可 以 在 线 收 集 您 所 在 的 网 络 的 安全 性 问题 ， 包 揪 效 毒 羽 及 或 击 的 
信息 ， 这 些 信息 将 发 送 给 Huawei 安 全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 您 的 网 络 。 


oC 
。 局 用 /禁用 全 局 病毒 扫 摘 功能 

。 配置 全 局 病毒 扫 摘 的 等 级 。 

。 配置 全 局 病毒 扫 摘 的 最 大 解压 层 数 。 

。 局 用 /禁用 安全 改善 计划 功能 
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。 局 用 /禁用 全 局 病毒 扫描 功能 


只 有 局 用 了 AV 功 能 ， 应 用 在 域 间 的 AV 策 略 才 生效 。AV 功 能 开 天 只 对 新 建 连接 生效 ， 
对 启用 AV 功 能 之 前 已 存在 的 连接 不 生效 % 


。 配置 全 局 病毒 扫 摘 的 等 级 

扫描 等 级 共有 3 级 ， 默 认为 2 级 ( 啤 。 等 级 越 高 对 文件 的 扫描 深度 越 深 ， 系 统 消 耗 的 资 
源 也 越 多 。 扫 描 等 级 取 值 越 高 5 病毒 检测 率 会 越 高 ， 但 产生 误 报 的 可 能 性 也 越 大 。 改 变 扫 
拍 等 级 会 导致 AV 引 擎 重新 官 始 化 。 
。 配置 全 局 病毒 扫 搬 的 最 大 解压 层 数 


出 于 系统 资源 的 考虑 ， 起 大 压缩 层 数 的 设置 也 可 以 根据 用 户 的 网 络 现状 设置 ， 文 件 骸 
套 超过 10 层 为 压缩 层 数 起 限 。 


当 网 络 上 传输 的 文件 的 压缩 层 数 小 于 或 等 于 最 大 解压 层 数 时 ， 文 件 将 被 解压 ， 然 后 进 
行 扫 摘 ; 当 文 件 的 压缩 层 数 大 于 最 大 解压 层 数 时 ， 不 对 文件 进行 扫 摘 ， 并 按照 超过 最 大 解 
玉 层 数 的 动作 处 理 。 


当 经 过 设备 的 文件 压缩 层 数 大 于 最 大 解压 层 数 时 ， 设 备 根据 AY 策 略 公 共 配置 的 “ 超 解 
压 层 数 文件 ”中 的 处 理 方 式 丢 痉 或 放行 该 文件 。 


。 局 用 /禁用 安全 改善 计划 功能 


局 用 该 功能 后 ， 设 备 可 以 在 线 收集 您 所 在 的 网 络 的 安全 性 问题 ， 包 括 病毒 和 攻击 信息 
,并 将 这 些 信息 发 送 给 安全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 您 的 网 络 。 


臣 置 AV 全 局 参数 


配置 全 局 参数 
AV 功 能 
扫描 等 级 
最大 解压 层 数 
安全 改善 计划 Y 户 用 
银 参与 安全 改善 计划 后 ， 设 备 可 以 在 线 收集 您 所 在 的 网 络 的 安全 性 问题 ， 包 括 病 毒 以 及 攻击 的 
信息 ， 这 些 信息 将 发 送 给 Huawei 安 全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 您 的 网 络 。 
应 用 


AV 策 路 列表 


电 除 网 剧 新 
PT 引用 次 数 ED HTTP 协 议 FTP 协 议 


mytest 0 Antj-Virus policy O00Q Q&AQ 


新 建 AV 策 略 


*“ @[ 


摘 壕 Anti-Virus policy 
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配置 AV 全 局 参数 
o ”选择 “UTM > 反 病 毒 > 策略 ”。 
o 在 “配置 全 局 参数 ”区 域 框 中 配置 AV 全 局 参数 。 
o 单 击 “应 用 ”。 
AV 全 局 参数 的 配置 对 所 有 AV 策 略 都 有 效 。 
新 建 AV 策 略 
o 选择 “UTM > 反 病 毒 > 策略 ”。 
o 单 击 “新 建 ”~。 
o 输入 新 建 AV 策 略 的 名 称 和 描述 。 
o 单 击 应用” 。 





WW HUAWEI 


w|i | 密码 保护 文件 O) 允许 v 
吕 | 超 解压 层 数 文件 允许 v 





超大 文件 

密码 保护 文件 
受 损 文件 

超 解 压 层 数 文件 
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。 在 “公共 配置 ”区 域 框 中 配置 参数 。 (超大 文件 、 密 码 保 护 文件 、 受 损 文 件 、 起 解压 层 
数 文件 ) 
0 人 允许 : 允许 文件 通过 ， 对 HTTPN FIP 协议 传输 的 文件 : 允许 文件 通过 ， 只 产生 日 
志 ; 对 3MIP、POP3 协 议 传 输 的 文件 : 允许 文件 通过 ， 同 时 在 邮件 正文 中 添加 宣 
告 并 产生 日 六。 
0 拒绝 : 阻 断 文 件 通 过 ,HTTP、FTP 协 议 传输 的 文件 : 阻 断 文件 通过 ， 同 时 问 客 
尸 端 推送 Web 页 面 并 产生 日 忘 ; 对 3SMTP、POP3 协 议 传 输 的 文件 : 阻 断 邮件 的 附 
件 ， 同 时 在 邮件 正文 中 添加 宣告 并 产生 日 记 。 
0 单 击 “ 应 用 入 完成 公共 配置 。 
AV 策 略 的 公共 部 分 对 该 策略 的 所 有 协议 都 有 效 。 
出 于 系统 资源 的 者 虑 ， 超 大 文件 和 超大 压缩 层 数 的 文件 ， 用 户 的 配置 通过 还 是 阻 断 。 
对 于 密码 保护 的 文件 ， 由 于 网 天 设备 不 具备 密码 破解 能 力 ， 因 此 可 以 由 用 户 设 定 对 密码 保 
护 文件 的 处 理 方 式 为 通过 还 是 阻 断 。 
文件 在 主机 上 以 一 定 的 格式 保存 、 读 取 和 解析， 对 于 格式 损坏 的 文件 ， 设 备 可 以 直接 
流 测 到 4 并 根据 用 户 的 配置 允许 通过 或 阻 断 。 


IC 4 
配置 HTTP 协 议 反 病毒 

HTTP 协 议 配 置 

病毒 扫 损 

HTTP 传 输 模 式 

断 点 绿 传 

传输 体验 

文件 大 小 上 限 

文件 扫 损 方式 

上 有 应 方式 

推送 内 容 


。 对 使 用 HTTP 协 议 传 输 的 文件 局 用 病毒 扫 摘 。 
。 配置 对 HTTP 文 件 进行 病毒 扫 摘 的 参数 
。 配置 啊 应 方式 及 推送 内 容 
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。 在 “HITP 协 议 配 置 ” 区 域 框 中 配置 各 参数 。 


口 


口 


口 


口 


司 用 病毒 扫 摘 

HTTP 传 输 模 式 

断 点 续 传 

传输 体验 ， 启 用 此 功能 可 提高 文件 传输 速率 ， 但 有 可 能 导致 市 病毒 的 文件 漏 阻 断 


。 在 观看 在 线 视 频 的 情况 由， 请 局 用 传输 体验 。 

文件 大 小 上 限 。 以 PSsi 方 式 上 传 多 个 文件 时 ， 设 备 将 根据 多 个 文件 的 总 大 小 判定 
是 否 为 超大 文件 ; 当 经 过 设备 的 HTIP 协 议 文件 大 于 最 大 扫 摘 文件 大 小 的 值 时 ， 设 
备 根据 公 共 配 置 中 超大 文件 的 处 理 方式 丢弃 或 放行 该 文件 。 

文件 扫 摘 方式 六 智能 扫 接 : 根据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫描 所 
有 文件 指定 扩展 名 扫描 : 根据 文件 扩展 名 表示 的 文件 类 型 进行 扫 摘 。 

中 应 方式 告警: 设备 只 产生 日 志 ， 不 对 HTTP 协 议 传输 的 文件 进行 处 理 就 发 送出 
去 艾 阻 断 : 设备 断 开 与 HTTP 服 务 器 的 连接 并 阻 断 文件 ， 癌 客 尸 端 推送 Web 页 面 并 
产生 日 志 

Wee 推 送 内 容 ， 当 设备 阻 断 文件 传输 时 问 客 户 端 推送 的 Web 页 面 内 容 。 


怒 置 FTP 协 以 反 病 毒 
图 FTP 苏 议 配置 


病毒 扫 据 
FTP 传 输 模 式 
断 点 续 传 
传输 体验 
文件 大 小 上 限 
文件 扫描 方式 


响应 方式 


。 对 使 用 F TP 协 以 传输 的 文件 户 用 病毒 扫 摘 。 
。 配置 对 FTP 文 件 进行 病毒 扫 摘 的 参数 
。 配置 啊 应 方式 及 推进 内 容 
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。 在 “FTP 协 议 配 置 ” 区 域 框 中 配置 各 参数 。 


口 


口 


口 


局 用 病毒 扫 摘 

FIP 传 输 模式 

断 点 续 传 

传输 体验 ， 启 用 此 功能 可 提高 文件 传输 速率 ,但 有 可 能 导致 各 病毒 的 文件 漏 阻 断 
。 人 在 观看 在 线 视频 的 情况 玉 ， 请 局 用 传输 体验 。 

文件 大 小 上 限 ， 当 经 过 设备 的 FTP 协 以 文 件 大 于 最 大 扫 摘 文件 大 小 的 值 时 ， 设 备 根 
据 公 共 配 置 中 超大 凑 件 的 处 理 方式 丢弃 或 放行 该 文件 。 

文件 扫 摘 方式 ， 智 能 扫 描 : 根据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫 摘 所 
有 文件 。 指定 扩展 名 扫 摘 : 根据 文件 扩展 名 表示 的 文件 类 型 进行 扫 摘 。 

虽 应 方式 ， 告 警 : 设备 只 产生 日 记 ， 不 对 HTTP 协 议 传输 的 文件 进行 处 理 束 发 送出 
去 ; / 阻 断 : 设备 断 开 与 HTTP 服 务 器 的 连接 并 阻 断 文 件 ， 问 客 尸 端 推送 Web 页 面 并 
产生 有 日志; 

Web 推 送 内 容 ， 当 设备 阻 断 文件 传输 时 问 客 户 端 推送 的 Web 页 面 内 容 。 


臣 置 SMTP 协 以 反 病 毒 


SMTP 协 议 配 置 


病毒 扫 据 (1) [ 自用] 
文件 大 小 上 限 1 
文件 扫 撕 方式 

响应 方式 


宣告 内 容 (英文 ) 


宣告 内 容 (中 文 )(G) | | 避 合 病毒， 请 芒 打 开 
。 对 使 用 SMTP 协 议 传输 的 文件 局 用 病毒 扫描 。 


。 配置 对 SMTP 文 件 进行 病毒 扫 摘 的 参数 
。 配置 啊 应 方式 及 宣告 内 容 
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。 企 “SMIP 协 议 配置 ”区 域 框 中 配置 各 参数 。 


口 


口 


局 用 病毒 扫描 

文件 大 小 上 限 ， 当 经 过 设备 的 SMTP 协 议 文件 大 于 最 大 扫描 文件 大 小 的 值 时 ， 设 备 
根据 公共 配置 中 超大 文件 的 处 理 方式 丢弃 或 放行 该 文件 。 

文件 扫描 方式 ， 智 能 扫描 根据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫描 所 
有 文件 ; 指定 扩展 名 扫描 : 根据 文件 扩展 名 表示 的 文件 类 型 进行 扫描 。 

响应 方式 ， 告 警 : 设备 只 产生 日 志 ， 不 对 HTTP 协 议 传输 的 文件 进行 处 理 就 发 送出 
去 ; 阻 断 : 设备 断 开 与 HTTP 服 务 器 的 连接 并 阻 断 文件 ， 向 客户 端 推 送 Web 页 面 并 
民国 

宣告 内 容 (英文 ) ”此 模式 下 配置 的 宣告 内 容 只 会 添加 到 字符 集 是 US-ASCll 和 
UTF-7 的 邮件 中 。 

宣告 内 容 和 (中文) ， 此 模式 下 配置 的 宣告 内 容 只 会 添加 到 字符 集 是 GB2312 的 邮 
件 中 。 


怒 置 POP3 协 以 反 病 毒 


病毒 扫 摘 (1) 
文件 大 小 上 限 1 
文件 扫 指 方式 

听 应 方式 


宣告 内 容 (英文 ) contains virus, and you'd better not open it 


宣告 内 容 (中 文 )(3) 忆 含 病毒， 请 勿 打开 


。 对 使 用 POP3 协 议 传输 的 文件 局 用 病毒 扫描 。 
。 配置 对 POP3 文 件 进行 病毒 扫 摘 的 参数 
。 配置 啊 应 方式 及 宣告 内 容 
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。 在 “POP53 协 议 配 置 ” 区 域 框 中 配置 各 参数 。 


口 


口 


局 用 病毒 扫描 

文件 大 小 上 限 ， 当 经 过 设备 的 POP3 协 议 文 件 大 于 最 大 扫描 文件 大 小 的 值 时 ， 设 
备 根 据 公共 配置 中 超大 文件 的 处 理 方式 丢弃 或 放行 该 文件 。 

文件 扫描 方式 ， 智 能 扫描 根据 文件 的 真实 类 型 进行 扫描 。 此 方式 下 设备 扫描 所 
有 文件 ; 指定 扩展 名 扫描 : 根据 文件 扩展 名 表示 的 文件 类 型 进行 扫描 。 

响应 方式 ， 告 警 : 设备 只 产生 日 志 ， 不 对 HTTP 协 议 传输 的 文件 进行 处 理 就 发 送出 
去 ; 阻 断 : 设备 断 敌 与 HTTP 服 务 器 的 连接 并 阻 断 文 件 ， 向 客户 端 推送 Web 页 面 并 
~ 

宣告 内 容 (英文 ) ”此 模式 下 配置 的 宣告 内 容 只 会 添加 到 字符 集 是 US-ASCIl 和 
UTF-7 的 邮件 中 。 

宣告 内 容 \( 中 文 ) ， 此 模式 下 配置 的 宣告 内 容 只 会 添加 到 字符 集 是 GB2312 的 邮 
件 中 。 


转发 策略 列表 


狼 亲 半 径 帅 除 赠 剧 新 || anyzone 司 ->| anyzone 司 急 查 词 | 加 高 级 查 放 


DD) w 源 地 址 目的 地 址 用 户 服务 


untrust->trust 


三 Web 过滤 
三 邮件 过 滤 
厂 FTP 过 滤 
三 应 用 控制 


记录 日 志 
开启 策略 会 话 沪 鲁 统计 
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配置 完 策略 后 ， 需 要 应 用 邮件 过 滤 策 略 。 
0 选择 “防火 墙 > 安全 策略 > 转发 策略 ”。 
0 在 “转发 策略 列表 ”中 ， 单 击 “ 新 建 ”。 
0 在 “新 建 转发 策略 ”区 域 4 依次 输入 或 选择 各 项 参数 。 
0 选中 “AV” 复 选 框 ， 选 择 前 面 配置 的 相应 AV 策 上 略 
5 单 击 “ 应 用 ,完成 AV 防 病毒 策略 应 用 的 配置 。 


时 间 段 


WW HuAwel 





AV 典 型 故障 处 理 


。 AV 检 测 失 效 定 位 过 程 
o 原因 一 : 没有 使 能 AV 全 局 开关 
原因 二 : AV 策 略 配 置 不 当 
原因 三 : 未 加 载 AV 引 擎 
原因 四 : License 过 期 
原因 五 : 内 存 不 足 
原因 六 : AV5| 擎 本 身 问题 
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AV 典 型 故障 处 理 


。 原因 一 : 没有 使 能 AV 全 局 开关 
1. 执行 命令 display av global-configuration， 查 看 qv 全 局 开关 使 能 状 


态 YX 


Anfi-Virus Global Configuration Info 


AnNti-Virus global swifch : Enable 
Sscan level | 2 
Max decompressable layer : 


global switch 表 示 Qv 全 局 开关 的 使 能 状态 。 
如 果 状 态 为 enable ， 继 续 执 行 原因 二 。 
如 果 状 态 为 disable， 继 续 执行 2。 


2. 在 系统 视图 下 执行 命令 qv enqble， 使 能 qw 全 局 开头; 
3. 检查 故障 是 否 消除 ， 如 果 没 有 ， 继 续 执 行 原因 ss 
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AV 典 型 故障 处 理 


。 原因 二 : AV 策 略 配置 不 当 
1. 执行 命令 dis policy interzone zone1 zone2 {inbound | outbound}; 
firewall default packet-filter is permit 
action permit 
policy service service-set ip 
policy source any 
policy destination any 
policy av abc 


policy av abc 表 示 域 间 应 用 了 av 策 略 abc。 

如 果 未 应 用 av 策略 ， 继 续 执行 2; 否则 继续 执行 原因 三 。 

2. 创建 av 策略 并 应 用 于 域 间 ， 具 体 配置 步骤 请 参见 av 功能 配置 ; 
3. 检查 故障 是 否 消除 ， 如 果 没 有 ， 继 续 执行 原因 研 s 
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AV 典 型 故障 处 理 


。 原因 三 : 未 加 载 AV 引 擎 
1. 执行 命令 display av version ， 查 看 是 否 已 加 载 AV 引 擎 及 签名 库 ; 
Version number : 20090811.001 & 
Engine version : 1.000 
Engine size : 2008792 bytes 
Signature database version :20090811.001 
Signature database size : 48057345 bytes 
Update time : 18:41:13 2009/08/11 
Issue time of the update file : 02:32:24 2009/08/12 
如 果 Current version 没 有 或 者 该 版 本 不 是 最 新 发 布 版 本 入 继续 执行 2， 否 
则 继续 执行 原因 四 。 
2. 对 设备 av 引 | 擎 及 签名 库 进行 本 地 升级 或 者 远程 种 级 ， 刁 体 步 又 请 参见 
《USG 系 列 防火 墙 软件 升级 指导 》。 
3. 检查 故障 是 否 消 除 ， 如 果 没 有 ， 继 续 执 行 原因 四 
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AV 典 型 故障 处 理 


原因 四 : License 过 期 
1 .执行 命令 display license， 查 看 License 是 否 过 期 。 
[UTM5000_Ajdisplay license 
06:33:39 2008/09/16 
Device ESN is: 2102351337Z08C000032 
Have already activated 1 License file,the file is: 
flash:/on1032318.dat Activated time: 2008/08/13 09:21:08 
VPN : 7000 
VFW 50 
GTP : ENABLED 
IPS : ENABLED; Expiration date: 2010-04-15 
URL Filter : ENABLED; Expiration date: 2008-12-15 
Anti Virus : ENABLED; Expiration date: 2040-04-15 
如 果 License 过 期 ， 请 购买 License; 否则 继续 执 每 原因 五 
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原因 五 : 内 存 不 足 、 原 因 六 : AV5| 擎 本 身 的 问题 请 联系 厂商 工程 师 解 决 。 


。 恶意 代码 、 病 毒 、 木 马 基 础 知识 
。 弟 用 病毒 检测 工具 的 基础 知识 
。 网 关 防 病毒 主要 技术 

。 网 天 防 病毒 技术 的 典型 应 用 
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思考 题 


。 判断 题 

1. 开局 AV 功 能 的 断 点 续 传 功能 后 ， 分 块 传输 不 再 扫描 ， 直 接 通过 。 
。 单 近 题 ~ 
1，AV 功 能 不 能 文 持 的 协议 类 型 是 : 
A、HTTP “ B、FTP C SMTP D、 POP3 


日 


。 多 选 题 
1， 病 毒 程序 的 结构 一 般 由 4 部 分 组 成 : 
A、 感 染 标 记 “B、 感 染 程序 模块 C、 破 坏 程序 模块 BD、 触发 程序 模块 
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习题 与 答案 : 

1、 病 毒 程序 的 结构 一 般 由 4 部 分 组 成 : 

A、 感 染 标 记 B、 感 染 程 序 模块 C、 和 破坏 程序 模块 D、 触 发 程序 模块 
答案 : AlB1C1D 

2、AV 功 能 不 能 支持 的 协议 类 型 是 : 

A、 HTIPB、 FTP C、 SMFP\BK POP3 


\ 


答案 : 
3、 开 启 AV 功 能 的 断 点 续 传 功能 后 ， 分 块 传输 不 再 扫描 ， 直 接 通 过 。 





长 
bal 
志 
CA 
LL 
三 
址 
| 
国 





目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
了 解 WEB 过 滤 技 术 基 础 知识 ; 
了 解 常 见 的 WEB 威 胁 ; 
熟悉 WEB 过 滤 关 键 技术 ; 
掌握 WEB 过 滤 技 术 应 用 。 
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缚 目录 


1，WEB 过 滤 技 术 概 述 
2. WEB 过 滤 关 键 技术 
3. WEB 过 滤 技 术 应 用 
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息 的 获取 、 共 享 和 传播 更 加 方便 ， 但 同时 也 给 企业 带 来 了 前 所 未 有 的 威胁 : 员工 随意 不 受 


2Z3 
工 


WEB 过 小 拉 术 


。 WEB 过 滤 技 术 是 一 种 针对 WEB 漏 洞 、WEB 分 类 等 进行 深度 检测 然后 进行 访 
问 控制 的 安全 上 网 管理 技术 ， 包 括 : 
o URL 过 滤 
o 搜索 关键 字 过 滤 
o 基于 WEB 内 容 过 滤 
o 恶意 网 页 URL 过 滤 
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随 着 互联 网 应 用 的 迅速 发 展 ， 计 算 机 网 络 存 经 济 和 生活 的 各 个 领域 迅速 普及 ， 使 得 信 


地 访问 非法 网 站 ， 不 仅 严 重 影响 工作 效率 而 且 威 胁 企 业 网 络 安全 。 
URL 过 滤 、 搜 索 天 键 子 过 滤 、Web 内 容 过 滤 扩 术 分 别 从 URL、 搜 索 天 键 子 、Web 页 面 


等 维度 控制 内 网 用 户 的 上 网 行为 。 


` 土 
人 


法 网 页 内 容 或 在 上 传 / 下 载 不 符合 要 求 的 文件 、 通 过 搜索 引擎 搜索 敏感 信息 等 。 


URL 过 滤 : 对 用 户 的 HTTP 请 求 进行 访问 控制 ， 人 允许 或 禁止 用 户 访问 某 些 网 络 资源 ， 可 以 
达到 规范 上 网 行为 的 目的 


搜索 天 键 子 过 滤 : 指 对 指 忆 搜索 天 键 子 进行 过 滤 ， 控 制 内 网 用 户 的 搜索 内 容 ， 防 止 用 户 
获得 敏感 信息 。 


基于 WEB 内 容 过 滤 : 对 网 页 内 容 进行 分 析 和 过 滤 ， 比 如 网 页 关键 子 等 WEB 应 用 。 


恶意 网 页 URL 过 滤 : 利用 恶意 网 页 检测 技术 分 析 恶意 网 页 并 将 恶意 网 页 URL 计 入 分 类 列 
表 ， 按 预先 制定 的 过 滤 策略 实施 控制 。 


通过 Web 过 滤 拉 术 ， 您 可 以 防止 内 网 用 户 进 行 以 下 操作 : 访问 不 合适 的 网 站 、 查 看 非 


WEB 相 天 威胁 及 问题 


密码 等 机 密 信息 泄 漏 
市 宽 占 用 ， 工 作 效 率 降低 
法 律 风险 
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对 于 企业 而 言 ， 内 部 员工 过 分 或 不 适当 的 WEB 资 产 访 问 不 仅 给 企业 市 来 了 生产 力 和 网 
络 带 宽 的 损失 ， 还 严重 威胁 看 企业 的 网 络 安全 架构 和 信息 系统 ， 甚 至 网 络 上 的 不 适当 或 非 
容 还 极 大 危害 看 企业 员工 个 人 的 屋 心 健康 甚至 给 企业 币 来 法 律 问题 。 


。 全 性 和 病毒 等 威胁 


员工 访问 WEB 网 页 时 容易 饭 不 安全 的 链接 或 者 恶意 下 载 威胁 ， 终 端 被 植 入 各 种 恶意 的 
代码 程序 ， 使 所 在 机 构 终 端 成 为 僵 忆 或 者 感染 病毒 。 


。 账号 、 密 码 等 机 密 信 息 泄漏 


员工 访问 WEB 网 雁 时 容易 废 含有 期 骗 信息 的 钓鱼 网 站 所 其 驴 ， 港 露 个 人 银行 帐号 、 密 
等 机 密 信 息 》 造成 重大 经 济 损失 。 


。 带宽 占用 ， 工 作 效 率 降 低 

员工 访问 WEB 网 页 时 ， 往 往 会 被 娱乐 性 内 容 所 吸引 ， 影 响 工 作 效 率 。 
。 法 律 风险 

员工 访问 WEB 网 页 时 ， 网 页 信息 中 可 能 市 有 一 些 与 法 律 相 抵触 内 容 。 


网 站 产生 的 威胁 : 

o 盗 窟 游戏、 网银 账号 
远程 控制 
僵尸 网 络 
隐私 泄露 
商业 威胁 


恶意 网 页 TOP10 


每 天 持续 有 新 的 恶意 网 站 增加 ， 高 峰 时 >2 万 < 天 
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随 看 互联 网 的 迅速 发 展 ， 同 时 也 使 其 变 得 异常 脆弱 。 基 于 WEB 的 攻击 已 经 成 为 攻击 者 
的 首要 攻击 方式 ， 网 站 攻击 的 途 答 个 仅仅 是 非法 网 站 任何 网 站 都 有 可 能 遭 到 攻击 者 的 威 
胁 ， 从 而 变 成 攻击 者 危害 用 户 的 “帮凶 ”。 收 击 者 通过 入 侵 合 法 网 站 并 发 布 恶 意 脚本 链接 
或 恶意 软件 ， 以 此 攻击 终端 用 户 的 计算 机 


所 谓 恶 意 网 页 ， 是 指 网 页 的 内 容 巾 铸 能 入 恶意 代码 ， 当 用 户 访问 恶意 网 页 时 ， 亚 意 代 
码 被 植 入 用 户 的 计算 机 ， 可 能 会 导致 用 户 计 算 机 上 的 隐私 信息 泄露 ， 计 算 机 成 为 僵尸 网 络 
等 严重 问题 。 

。 WEB 攻 击 

基于 WEB 的 攻击 已 经 成 为 攻击 者 的 首要 攻击 方式 ， 攻 击 者 通过 入 侵 合法 网 站 并 发 布 恶 
意 脚本 链接 或 恶意 软件 天 以 此 攻击 终端 用 户 的 计算 机 。 

e 7 必 恶意 网 页 


网 页 的 内 容 中 被 能 入 恶意 代码 ， 当 用 户 访 问 恶 意 网 页 时 ， 有 恶意 代 码 被 植 入 用户 的 计算 
机 ， 可 能 会 导致 用 户 计算 机 上 的 隐私 信息 泄露 ， 计 算 机 成 为 僵尸 网 络 等 严重 问题 。 


网 页 挂 马 中 攻击 的 十 大 漏洞 排名 


和 Microsoft 沽 条 全 第 三 方 漏洞 
0 200000 400000 600000 800000 1000000 
Microsoft Directshow MPEG2TuneRequest 组 件 栈 洲 出 汤 泣 (MS09-032) B710 
WindowsGDI 可 能 克 许 远程 执行 代码 漏洞 (07-017) “国生 .o%67sc 
Microsoft MDAC RDS.Dataspace ActiveX 控 件 远程 代码 执行 油 洞 国有 :co74 
Microsoft IE CFunctionPointer 函 数 内 存 破坏 漏 油 (Ms09.002) 国有 :oo% 
Realplayer 漏 洞 | 262885 
Adodb Flash 播 放 器 沁 洞 、 轩 986M 192801 


Microsoft Access 快 照相 看 问 Activex 控 件 任意 文件 下 载 汤 润 (Ms08-041) 国生 "ooic 
暴风 影音 MPS.DLLActivex 控 件 远程 溢出 漏洞 国 国 33130 
联众 世界 GLIEDown2.dllActive 控 件 多 个 绥 冲 区 滋 出 沁 洞 加 7740 


| 
Acrobat Reader 涡 润 。 革 760% 


数据 来 源 : ,华为 赛 站 识 克 IP 信 誉 监控 平台 
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WEB 相 关 威 胁 和 问题 一 热点 漏洞 举例 : 
D Microsoft DirectShow 组 件 栈 溢出 漏洞 ; 
0 MICROSOFT OFFICE WEB 组 件 内 存 破 坏 漏 洞 
o RedalPlayerrmoc3260.dlAefiveX 控 件 内 存 破 坏 漏洞 ; 
Do Firefox 3.5 Tracemorkey 组 御 远程 代码 执行 漏洞 ; 
0 Adobe Flash Playesr 有 畸形 SWF 文 件 解 析 远 程 代码 执行 漏洞 ; 
o Adobe ReaderAcroRd32.dll 模 块 漏 尊 。 


i & .583 。 ， 刊 用 浏览 器 沁 酒 \ 


] 利用 插件 漏洞 
: 人 - 


1 EN 
资 取 网 游 帐号 
盗 取 IM 帐 号 链接 其 它 恶 意 站 点 
盗 取 银 行 帐号 =- 


成 为 肉鸡 
恶意 广告 
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。 网 页 挂 马 流程 : 
0 客户 端 PC 上 网 浏览 到 一 些 恶意 站 点 印发 了 该 恶意 网 页 的 运行 ; 


D 这 个 网 页 木马 被 执行 后 ， 就 会 利用 浏览 器 漏洞 、 插 件 漏洞 进行 破坏 行动 ， 或 者 链 
接 其 它 恶 意 站 点 


5 人 下载 在 恶意 攻击 行为 者 事先 准备 的 木马 软件 ; 


oO 通过 利用 浏览 器 等 漏洞 在 后 全 自动 下 载 指 定位 置 的 木马 并 安装 或 直接 运行 。 这 
些 过 程 都 在 后 台 运 每 # 用 户 很 难 察觉 的 到 。 实 际 上 虽然 考虑 到 安全 问题 ,浏览 器 是 
禁止 自动 下 载 程序 的 $ 但 是 浏览 器 总 是 存在 一 些 已 知 或 未 和 的 漏洞 ,网 页 木马 残 是 
利用 这 些 漏洞 来 获得 下 载 程序 或 运行 程序 的 权限 的 ; 


oO 木马 运行 后 在 各 六 端 PC 上 秘密 运行 收集 客户 端 PC 的 重要 隐秘 信息 ， 比 如 网 游 、 
IM、 银 行 等 帐号 ; 


口 同时 或 通过 于 恶意 网 站 链接 恶意 厂 让 
oO 最 终 成 为 恶意 行为 制造 者 经 济 利益 收获 的 使 用 工具 。 
。 简单 来 说 ， 网 站 挂 马 一 般 可 以 简化 为 以 下 三 个 流程 : 

D /制作 黑 页 : 针对 客户 端 软 件 存在 的 漏洞 ， 黑 客 构建 的 包含 恶意 代码 的 网 页 ; 

GAS 区 站 挂 马 : 利用 SQL 注入 、X99 跨 站 脚本 等 攻击 入 侵 合 法 网 站 并 租 入 可 跳 转 到 黑 页 
的 链接 ; 

D 让 载 木 马 : 客户 端 访问 被 挂 马 网 站 ， 并 跳 转 到 黑 页 ， 这 是 由 于 客户 端 软 件 存在 漏 
洞 会 执行 恶意 代码 自动 下 载 木 马 软件 。 


二 述 流程 涉及 了 三 个 主体 : 被 挂 马 网 站 、 黑 页 〈 也 叫做 挂 马 产 ) 、 有 漏洞 的 客户 端 软件 ， 
要 解决 网 站 挂 马 问题 ， 就 要 从 这 三 方面 入 手 。 


目录 
WEB 过 滤 拉 术 概 述 
.WEB 过滤 关键 技术 
2.1 网 站 URL 过 滤 技 术 
2.2 搜索 关键 子 过 小 技术 
2.3 WEB 内 容 过 滤 拉 术 
2.4 恶意 网 页 检 疯 关键 技术 
3，WEB 过 小 技术 应 用 


WW huawel 
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URL 过 渡 必 要 性 


。 随 着 互联 网 的 普及 ， 网 络 信息 与 日 


机 构 员 工 不 受 控 地 访问 网 站 资源 ， 将 可 能 
俱 增 ， 大 量 娱乐 、 商 务 信息 吞噬 人 


严重 降低 员工 的 工作 效率 

们 的 宝贵 时 间 浪费 企业 网 络 带宽 资源 
从 恶意 站 点 引入 病毒 、 木 马 等 进入 内 
网 


带 来 版 权 、 ssxemm 人 让 


oN SL 
OO 


Pg 


大 量 色 情 、 丹 多 信息 影响 人 们 的 身心 健康 





~ ex 
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URL 过 滤 拉 术 对 用 户 的 HTTP 请 求 进行 访问 控制 


， 人 允许 或 禁 夫 目 用户 访问 某 些 网 络 资 关 ， 
可 以 达到 规范 上 网 行为 的 目的 。 


URL 过 小 原理 


7. 不 合法 ， 设 备 可 以 推送 告 
警 页 面 后 断 开 TCP 连 接 


1 .用 户 访 问 www.game.com 


7 +t 
2.TCP 3 次 握手 建立 连接 i J “学 ne 


4. 设 备 截获 HTTP Get 请 求 ， 
检测 是 否 合法 
InNternet 
6. 不 合法 ， 设 备 可 以 直 
. 接 断 开 TCP 连 接 
3. 浏 览 器 发 送 HTTP Get 请 求 
5. 合 法 ， 则 放行 请 求 ， 用 户 可 浏览 对 应 网 冰 语 
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。 网 天 设备 URL 过 滤 的 原理 : 
0 截取 用 尸 HTTP 和 连接 Get 或 POST 请 求 ， 根 据 用 尸 配置 策略 判断 其 合法 性 ; 
0 ”如 果 URL 合 法 ， 则 该 HTTP 请 求 被 歼 行 ， 用 尸 可 以 浏 筑 网 站 ; 
0 ”如 果 URL 不 合法 ， 则 对 该 HTTP 和 连接 进行 告警 页 面 推 送 并 且 阻 断 。 


URL 地 址 结构 


。 Internet 上 的 每 一 个 网 页 都 具有 一 个 唯一 的 标识 ， 称 为 URL ( 
Uniform Resource Locator) 地 址 


hostname 
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Internet 上 的 每 一 个 网 页 都 具有 一 个 唯一 的 标识 ， 称 为 URL (Uniform Resource 
Locator) 地 址 。 


URL 地 址 用 来 完整 地 描述 Internet_P 网 页 和 其 他 资源 地 址 。 简 单 地 说 ，URL 就 是 WEB 地 
址 。 


。 URL 格 式 : protocol://hosftname[lporj/paftfhl? guery] 
o Protocol: 最 常 使 用 的 是 HTTP 协 议 。 对 于 HTTP 协 议 ， 一 般 可 不 输入 ; 
o hostname: WEB 服 务 器 的 DNS 主机 名 或 |P 地 址 ; 
oO Port: 可 选 ,/ 通 信 奖 口 。 各 种 传输 协议 都 有 默认 的 端口 号 ; 
0 ? query:、 可 选 入 用 于 给 动态 网 页 传递 参数 。 


URL 匹 配方 式 


前 缀 匹配 | Www.hua | 匹配 所 有 以 www.huawei.com 开 头 的 URL， 如 : www.huawei.cem、 
ob wei.com | www.huawei.com/solutions.do 


匹配 所 有 以 Qspx 结 尾 的 URL， 如 : 
后 缀 匹配 CSPXx www.huawei.com/news/solutions.aspx、 
www.huaweil.com/it/price.aspx 


关键 字 匹 | huawei.c | 匹配 所 有 包含 huawei.com 的 URL， 如 : 
Eo om www.hUuawei.com/news/solutions.gspx、www.hudwei.com/it/ 


www.huqd | 只 匹配 www.huawei.com/news。 
精确 匹配 | wei.com/ | www.huawei.com/news/solutions.dqspx、 
News Www.huawei.comy/news/en/ 等 不 会 匹配 该 移 目 


匹配 所 有 参数 中 包含 9-param 的 URL， 如 : 
_ www.huawei.com/education.aspx?#$%%oBaraM 人 和 人 8、 
参数 匹配 | a-param www.huawei.com/news/en/political?@-parameter， 但 是 不 会 匹配 
www.d-param.com、www.huawei.com/S-param 
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前 4 种 匹配 针对 于 hostname/path 部 分 ， ea a 分 ,可 用 于 匹配 搜 
索引 擎 搜索 关键 字 , 注 意 URL 只 对 HTTP 协 议 数据 进行 过 滤 。 


益 日 名 音 过 滤 


前 级 匹配 


mk 


精确 匹配 - 文 持 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 14 WD HUAVWEI 


设备 将 HTTP 上 网 请 求 的 URL 与 黑白 名 单 进行 匹配 ， 如 果 匹 配 白 名 单 则 人 允许 该 HTTP 请 求 
， 如 果 匹 配 黑 名 单 则 阻止 该 HTTP 请求 。 


当 上 网 请 求 的 URL 与 日 名 单 匹 配 时 入 不 会 再 进行 后 续 的 处 理 (包括 AV、1IPS 等 ) 。 设 
置 日 名 单 有 利于 提高 匹配 效率 。 


。 设备 将 HITP 上 网 请 求 的 URL 与 黑白 名 单 进行 匹配 
0 ”如 果 匹 配 白 名 单 则 放行 该 HTTP 请 求 ; 
o 如 果 匹 配 黑 名 单 则 阻 断 该 HTTP 请 求 ， 同 时 显示 阻 断 页 面 通告 。 
。 使 用 多 种 匹配 方式 Y 可 灵活 地 人 允许 或 者 禁止 对 URL 访 问 
注 : 为 了 茶 止 使 用 搜索 引擎 搜索 东 些 关键 子 ， 黑 名 单 文 持 参 数 匹配 方式 


通过 宜 免 | 功能 可 以 使 特定 的 中 地 址 集 不 进行 黑白 名 单 过 滤 、 目 定义 分 类 过 滤 、 预 置 
分 类 过 滤 ， 直 接 放 行 ， 和 针对 特殊 用 户 使 用 。 


URL 审 计 


eLog 服 务 器 
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URL 审 计 功 能 用 来 记录 用 户 的 HTTP 上 网 行为 ,并 作为 审计 依据 


用 户 可 配置 需要 审计 的 WEB 资 源 类 型 ,WEB 资 源 类 型 以 文件 扩 展 名 来 区 分 ， 包 括 html 
、jsp、qaspx 等 


内 部 用 户 访 问 指定 类 型 的 WEB 资 源 ， 防火墙 将 记录 日 志 并 发 送 给 日 志 服 务 器 


URL 分 类 过 滤 
。 黑白 名 单 

。 URL 自 定义 分 类 

。 URL 预 定义 分 类 














第 三 方 分 黑 服 劳 器 
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。 黑白 名 单 
设备 将 HTTP 上 网 请 求 的 URL 与 黑白 名 单 进行 匹配 ， 如 果 匹 配 白 名 单 则 允许 该 HTTP 请 求 ， 
如 果 匹 配 黑 名 单 则 阻止 该 HTTP 请 求 。 


当 上 网 请 求 的 URL 与 日 名 单 匹 配 时 ,不 会 再 进行 后 续 的 处 理 (包括 AV、1IPS 等 ) 。 设 
置 日 名 单 有 利于 提高 巨 配 效率 。 


。 URL 目 定义 分 类 ， 即 本 地 URL 过 滤 


URL 自 定义 分 类 由 用 户 自 行 配 置 和 维护 。URL 自 定义 分 类 将 具有 相同 特征 的 URL 进 行 分 
类 ， 用 户 可 以 根据 业务 配置 策略 ， 人 允许 或 拒绝 各 个 分 类 URL 的 访问 。 相 对 于 预定 义 URL 分 
类 ， 有 用户 可 以 使 用 自 定 义 分 类 对 URL 进 行 更 为 精细 化 的 控制 。 


。 URL 预 定义 分 类 ,~ 即 远程 URL 过 滤 


URL 预 定义 分 类 由 安全 服务 中 心 提 供 并 维护 。URL 预 定义 分 类 中 定义 了 各 种 URL 的 分 类 ， 
例如 教育 类 URL 习 新 闻 类 URL， 有 用户 可 以 根据 业务 使 用 策略 ， 人 允许 或 拒绝 各 个 分 类 网 站 的 
访问 。 使 用 URE 预 定义 分 类 的 情况 下 ， 需 要 建立 到 安全 服务 中 心 的 连接 。 相 对 于 需要 用 户 
月 行 配置 的 朋 定 义 分 类 ， 预 定义 分 类 已 经 预先 对 大 量 常 见 的 URL 进 行 了 分 类 ， 用 户 可 以 根 
据 这 些 分 类 轻松 地 控制 内 网 用 尸 禁止 访问 哪些 类 别 的 URL、 人 允许 访问 哪些 类 别 的 URL。 


URL 分 类 过 滤 拉 林 


根据 目 定 义 分 类 或 者 预定 义 分 类 ， 用 尸 可 以 创建 多 个 URL 策 略 


每 条 URL 策 略 定义 了 分 类 的 处 理 动作 


销售 部 UR 控制 | 
研发 部 URL 控 制 | 
总 I 办 UR 控制 | 
研究 部 JR 控制 | 
ET 
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通过 将 URL 策 略 引用 到 域 间 ， 与 域 间 策 略 配合 使 用 ， 实 现 基于 时 间 和 地 址 集 等 的 URL 过 





URL 分 类 过 滤 技术 实现 过 程 


saa 
同和 全) 


了] 


分 类 服务 器 
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。 URL 分 类 过 滤 技 术 的 实现 过 程 


口 


口 


当 用 户 通过 防火 墙 访问 外 网 时 , 防火 墙 首 先进 行 本 地 目 定 义 分 类 过 滤 ; 

设备 根据 用 户 的 URL 从 本 地 类 别 列表 中 得 到 对 应 的 分 类 |; 

找到 分 类 后 ， 设 备 根据 访问 控制 策略 中 对 应 分 类 的 动作 ， 阻 断 或 者 放行 URL 请 求 ; 
如 果 没 有 命中 本 地 目 妨 义 分 类 过 滤 ， 紧 接着 进行 远程 预定 义 分 类 过 滤 ; 

设备 将 用 尸 URL 发 给 分 类 服务 器 获取 对 应 的 分 类 ; 

找到 分 类 后 ， 设 备 根据 访问 控制 策略 中 对 应 分 类 的 动作 ， 阻 断 或 者 放行 URL 请 求 。 


URL 过 滤 总 体 流 程 


ol -一 一 AM 
一 (UNTRUST 
TRUST DS a 
py ~ 一 小 
pal ~ 
用 户 务 


| USG5000 
1.HTTP 访 问 请 求 


4. 本 地 自 定 义 分 类 
URL 控 制 策略 


5. 远 程 预定 义 分 类 
URL 控 制 策 略 


未 匹配 任何 策略 的 
处 理 方式 
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用 户 发 起 HTTP 请 求 : 


UsycCo000 将 HTIP 请 求 的 URL 与 白 名 单 虫 的 记录 进行 匹配 。 如 果 匹 配 白 名 单 ， 则 放行 此 
URL， 如 果 未 匹配 日 名 单 ， 则 进行 下 让步 检测 ; 


USG5000 将 HTTP 请 求 的 URL 与 黑 名 单 中 的 记录 进行 匹配 。 如 果 匹 配 黑 名 单 ， 则 阻 断 此 
URL， 如 果 未 匹配 黑 名 单 ， 则 进行 下 一 步 检测 ; 


USG5000 将 HTTP 请 求 的 URL 与 本 地 自 定 义 分 类 列表 中 的 记录 进行 匹配 。 如 果 匹 配 本 地 
自 定 义 分 类 ， 则 根据 分 类 过 滤 策 略 放 行 或 阻 断 此 URL。 如 果 未 匹配 本 地 自 定 义 分 类 ， 则 
进行 下 一 步 检 疯 ; 


USG5000 将 HTTP 请 来 的 URL 疝 URL 分 类 服务 器 发 起 远程 预定 义 分 类 查询 。 如 果 匹 配 远 程 
预定 义 分 类 ， 则 根据 分 类 过 滤 策 略 放 行 或 阻 断 此 URL。 如 果 未 匹配 远程 预定 义 分 类 ， 则 
根据 未 匹配 任何 过 凑 策 略 的 处 理 方式 放行 或 阻 断 此 URL。 如 果 服 务 器 连接 失败 或 者 查询 
超时 ， 则 根据 服务 器 查询 失败 处 理 方式 放行 或 阻 断 此 URL; 


如 果 启 用 巴 URL 审 计 功 能 ，USG5000 对 URL 中 的 资源 类 型 进行 审计 。 如 果 URL 中 的 资源 
属于 用 户 配 置 的 审计 资源 类 型 ， 则 USG5000 将 此 URL 信 息 发 送 到 审计 服务 器 。 


目录 

1，WEB 过 滤 技 术 概 述 

2. WEB 过 滤 天 键 技术 
2.1 网 站 URL 过 滤 技 术 
2.2 搜索 关键 字 过 滤 技 术 
2.3 WEB 内 容 过 小 拉 术 
2.4 恶意 网 页 检 疯 关键 技术 


3. WEB 过 滤 技 术 应 用 
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搜索 关键 子 过 小 概念 


。 搜索 关键 字 过 滤 技 术 是 指 对 指定 搜索 天 键 子 进行 过 滤 ， 探 制 内 网 用 
户 的 搜索 内 容 ， 防 止 用 户 获得 敏感 信息 。 


co ool 四 
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据 调 查 显示 ， 搜 索引 擎 是 网 民 访 问 量 最 大 的 网 站 类 型 之 一 ， 用 户 大 多 数 的 web 站 点 访 
问 行 为 者 是 从 搜索 引擎 开始 的 ， 目 前 文 持 的 搜索 引擎 有 Coogle、Yahoo、Bing、 有 百度 。 
员工 日 党 进行 的 检 过 活动 能 够 反映 其 近期 的 生活 情况 和 情绪 状态 ， 如 


对 于 企业 来 说 ， 
are hep) shee ， 不 但 会 占用 上 班 时 间 ， 影 响 工作 效率 ， 还 有 
产生 信息 安全 问题 ， 乃 至 影响 组 织 信 合 和 法 律 问题 。 “搜索 引擎 关键 字 过 波 技 术 ” 功 能 从 


好 可 以 帮助 企 eee 难题 。 通 过 设置 针对 性 策略 ， 企 业 用 户 可 以 对 搜索 引擎 关键 
字 检 索 行为 进行 封 堵 ， 能 够 从 源头 上 减少 用 户 访问 不 良 网 站 、 获 取 不 良 信息 。 从 而 互联 网 


资源 的 极 大 丰富 ， 方 便 了 资源 的 共享 ， 提 高 了 工作 效率 。 


搜索 关键 字 过 滤 原 理 


WEB 服 务 器 





-> I 
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搜索 关键 子 过 滤 是 指 对 指 RS a 控制 内 网 用 户 的 搜索 内 容 ， 


防止 用 
尸 获 得 敏感 信息 。 防 火 墙 上 开局 搜索 关键 子 过 滤 功 能 后 ， 当 用 户 在 搜索 引擎 上 搜索 内 容 时 
， 防 火 墙 会 对 该 HTTP 报 文 进行 解析 : 


。 如 果 匹 配 搜 索 天 键 字 策略 ， 执 行 过 滤 策 了 略 
Web 页 面 ， 提 醒 用 户 访问 受 限 。 


。 如 果 没 有 匹配 搜索 关键 子 策略 和 % 则 允许 该 HTTP 报 文通 
当 搜索 的 关键 子 中 出 现 、J& 和 “= 了 字符 时 ， 


〈( 阻 断 或 告警 ) ; 同时 可 以 选择 同 用 户 推送 


过 。 用 户 可 以 正常 进行 搜索 。 
可 能 会 躲避 过 检测 。 


扫 索 关键 子 过 滤 流 程 


http 轻 量 级 引擎 送 
入 URL 部 分 数据 


分 离 host 和 page 部 
分 
N 检测 颖 善 的 
搜索 引擎 ? 
VY 
搜索 关键 
字 状 态 ? 
Vy yy 


Ve 时 了 关 a - < ”状态 机 匹配 


命中 ? Y ， 坦 找 命中 对 启 郁 
作 


返回 动作 给 http 加 
轻 量 级 引擎 


Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 23 WD HUAVWEI 





搜索 关键 子 过 滤 扩 术 是 对 指定 搜索 引擎 中 的 关键 子 进行 过 滤 ， 控 制 内 网 用 户 的 搜索 内 
， 搜 索 天 键 字 过 滤 技 术 执 行 WEB 过 滤 使 用 以 平方 法 : 

当 HTTP 轻 量 级 流量 送 入 url 部 份 数 据 , 首 完 要 分 离 HOST 和 Page 部 份 ; 

仿 测 覆盖 的 搜索 引擎 ， 如 果 不 检 剖 覆盖 的 搜索 引擎 将 对 HTTP 沉 量 放行 ， 反 之 ， 将 搜索 
关键 子 状态 进行 检测 ; 

如 果 不 检查 搜索 天 键 子 状态 将 对 HTTP 流 量 放行 ， 反 之， 找到 关键 字 参 数 的 位 置 提取 关 
键 子 与 状态 机 进行 匹配 ; 


如 果 提 取 的 关键 字 没 命中 状态 机 将 对 HTIP 流 量 放行 ， 相 反 将 查找 命中 对 应 动作 ， 
动作 〈 阻 断 、 告 警 、 不 处 理 ) 给 HTTP 轻 量 级 引擎 。 


目录 


1.， WEB 过 滤 技 术 概 述 
2. WEB 过 滤 关 键 技术 
2.1 网 站 URL 过 滤 技 术 
2.2 搜索 关键 字 过 滤 技 术 
2.3 WEB 内 容 过 滤 技 术 

2.4 恶意 网 页 检测 关键 技术 


3. WEB 过 滤 技 术 应 用 
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WEB 内 容 过 渡 技 术 介 绍 


。 Web 内 容 过 滤 对 用 户 访 问 Web 页 面 的 内 容 进行 控制 。 
网 页 浏览 天 键 子 
HTTP POST 过 滤 
HTTP POST 文件 过 波 
上 传 /下 载 文件 名 关键 字 
上 传 /下 载 文件 类 型 关键 字 
文件 大 小 过 滤 
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Web 内 容 过 滤 对 用 户 访问 Web 页 面 的 内 容 进行 控制 。 
。 网 页 浏览 关键 字 : 过 滤 网 页 上 的 内 容 。 
。 HTIP POST 关 键 字 : 过 滤 HTTP POST 操 作 。 
。 上 传 /下 载 文件 名 关键 字 : 根据 上 和 传 或 下 载 的 文件 名 进行 过 滤 。 
。 上 传 /下 载 文件 类 型 关键 字 : 痕 据 上传 或 下 载 的 文件 类 型 进行 过 滤 。 
。 文件 大 小 过 滤 : 根据 上 传 或 下 载 的 文件 大 小 进行 过 滤 。 


网 页 浏览 关键 字 、 文 件 名 支持 关键 字 对 象 组 匹配 (任意 匹配 ) 。 例 如 ， 假 设 管理 员 在 
设备 上 配置 了 荣 止 浏览 天 键 子 “暴力 ”的 网 页 ， 那 么 用 户 将 不 能 访问 包含 “暴力 ”的 网 页 
文件 类 型 支持 文件 类 型 对 象 组 匹配 (精确 匹配 ) 。 例 如 ， 假 设 管理 员 在 设备 上 配置 了 
茶 止 下 载 文件 类 型 为 mpP3 的 文件 ， 那 么 用 户 将 不 能 下 载 文件 类 型 为 nP3 的 文件 ， 但 能 下 载 
文件 类 型 为 me 的 文件 。 
注 : 文件 大 小 不 匹配 公共 对 象 组 。 


WEB 内 容 过 渡 原 理 


。 用 户 发 起 上 传 附件 的 操作 ， 触 发 发 送 HTTP 报 文 。 
。 HTTP 报 文 经 过 防火 墙 时 ， 防 火 墙 会 对 其 进行 过 滤 : 
。 如 果 匹 配 上 传 文件 名 关键 字 策 略 ， 执 行 过 滤 策略 〈 阻 断 或 告警 ) ; 同时 可 以 选择 
向 用 户 推送 Web 页 面 ， 提 醒 用 户 访问 受 限 。 XX 


o 如 果 没 有 匹配 上 传 文件 名 天 键 子 策略 ， 则 人 允许 该 HTTP 报 文通 过 。 用 户 RRNeA 下 第 
上 传 该 文件 。 
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WEB 内 容 过 滤 一 网 页 浏 


1、 首 先 用 户 端 发 起 浏览 请 求 


2、 数 据 流 给 过 防火 墙 时 ， 检 索 将 要 浏览 的 网 页 中 是 否 包 含 “XXXX 


WEB 服 务 器 


3、 将 检索 的 结果 与 访 火 墙 上 已 定义 好 的 策略 进行 匹配 ， 如 果 检 索 到 USARee ， 
那么 将 阻 断 用 户 访问 此 网 页 ， 并 向 客户 端 推送 信息 ， 如 果 没 检索 到 人 XXXX” ， 
就 将 流量 放行 。 
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网 页 浏览 天 键 字 过 滤 是 WEB 内 容 过 滤 技 术 之 二 ， 主 要 是 针对 用 尸 所 浏 贤 的 网 页 中 是 否 
包含 违规 或 不 键 康信 息 ， 当 用 户 访 问 到 这 一 类 信息 ， 防 火 墙 将 会 对 此 做 出 相应 的 应 对 措施 


WEB 内 容 过 滤 一 HTTP POST 过 滤 


1、 首 先 用 户 端 发 起 HTTP post 请 求 


2、 数 据 流 经 过 防火 墙 时 ， 检 索 HTTP Posf 内 容 中 是 否 包含 “XXXX” 


3、 将 检索 的 结果 与 访 火 墙 上 已 定义 好 的 策略 进行 匹配 ， 如 果 检 索 到 POST 内 容 申 
包 “XXXX” ， 那 么 将 阻 断 用 户 HTTP POST 请 求 ， 并 向 客户 端 推送 信息 。 如 果 检 索 
到 POST 内 容 中 包 “XXXX” ， 将 对 流量 进行 放行 
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HTTP POST (文件 ) 过 滤 技 术 是 WEB 内 容 过 滤 技 术 这 一 ， 我 们 在 访问 网 页 时 会 涉及 到 
GET 和 POST 两 个 方 同 的 请 求 ， 在 这 里 将 介绍 对 POST 业 务 方面 进行 过 滤 ， 涉 及 POST 操 作 有 
论坛 、EMAlL 等 ; 对 于 一 个 企业 来 说 ,4 为 了 保 信息 信息 安全 ， 防 止 内 网 用 户 回 外 部 用 户 发 
送 公 司 的 机 密 人 和 信息， 那么 就 通过 对 POST 的 关键 字 和 附件 进行 过 滤 ， 从 而 降低 信息 安全 隐患 


WEB 内 容 过 滤 一 上 传 /下 载 天 键 字 过 渡 


。 上传/ 下载 天 键 字 包括 : 
oO 文件 名 ， 可 以 是 任何 文件 名 称 ; 
oO 文件 类 类 型 ， 如 : doc 、mp3 等 ; 


Ps TRUST UNTRUST 
者 INnternet 
和 Brrr 





的 
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WEB 内 容 过 滤 一 文件 大 小 过 渡 


。 文件 大 小 过 滤 技 术 主 要 是 针对 文件 的 大 小 进行 WEB 内 容 过 滤 ， 当 文件 超过 
规定 的 大 小 时 ， 将 阻 断 (告警 \ 不 处 理 ) 文件 上 传 或 下 载 业务 ， 如 果 小 于 或 
等 于 该 文件 大 小 时 ， 将 放行 文件 。 


UNTRUST 
~ Inferneti 





的 
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Hf Get 


判断 当前 对 象 Content- 
Type 字段 是 否 是 text 
html 


1 


1 


世 H 


| 
时 
上 


依据 当前 页 面 编码 进 和 BeN 
键 字 匹配 


人 


S 
闲 
小 


) 一 PS 
< Page 31 
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恶意 网 页 检测 关键 技术 
CA 
。 特征 库 比 对 / 


~ 


EE 
”恶意 网 页 解密 J 
CA 
_ 局 发 式 行为 识别 /) 
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针对 恶意 网 页 采用 的 页 面 拆 分、 函数 变换 、 代 码 变 形 等 技术 ， 在 对 页 面 进行 分 析 时 对 


变形 的 代码 进行 还 原 。 
。 特征 库 比 对 
生成 包括 上 下 文 天 系 及 多 个 特征 串 关 联 的 特征 匹配 库 ， 


识别 恶意 URL。 


。 网 络 仆 虫 技术 


过 对 页 面 的 特征 进行 比 对 ， 


高 效 仆 取 网 页 ， 获 得 网 页 的 原始 代码 及 相 天 链接 ， 为 后 继 的 恶意 网 页 代码 分 析 打 下 基 


础 。 
。 安全 沙 条 

全 阔 箱 技术 对 禾 似 恶意 页 面 进行 隔离 分 析 ， 能 对 未 识 
和 


。 月 发 去 行 为 识别 


针对 恶意 网 页 挂 马 的 一 些 典 型 技术 ， 使 用 局 发 式 的 方法 进 


来 源 进行 跟 踊 ， 达 到 识别 的 目的 。 
® 3 忆 意 网 页 1 解 密 


和 针对 恶意 网 页 代码 的 脚本 加 密 、 工 具 加 密 、 自 定义 加 密 西 
密 技术 对 有 恶 意 网 页 代码 解密 。 


列 的 网 页 提取 新 的 挂 马 拉 术 特 


行 判断 ， 并 对 最 终 网 页 木马 


数 等 加 密 技术 ， 使 用 脚本 解 


普 章 网 站 的 黄 列 方 艺 


识别 方法 


检测 技术 


网 页 代码 静态 指纹 检查 
z z 代码 解析 分 析 恶 意 行 间 
AR 


A 


页 面 存在 恶意 特征 
~X 


在 沙 箱 中 进行 识别 


全 


网 页 启发 式 行为 分 析 识 别 
| | 
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。 华为 安全 能 力 中心 的 目 动 检 疯 模块 使 用 了 局 发 起 分 析 和 行为 分 析 两 种 方式 。 
0 特 


征 分 析 是 指 对 恶意 样本 进行 代码 静态 指纹 比 对 ， 而 行为 分 析 则 是 将 恶意 代码 放 
入 沙 箱 (Sandbox) 中 运行 ， 识 别 其 关键 恶意 行为 。 
D 启发 式 行为 识别 ， 针 对 恶意 网 页 挂 马 的 一 些 典 型 技术 ， 使 用 启发 式 的 方法 进行 判 
断 ， 并 对 最 终 网 页 木马 来 源 进行 跟踪 ， 达 到 识别 的 目的 。 


登 意 网 站 识别 万 法 一 特征 库 


。 特征 是 一 串 特 定 的 字符 串 ， 采 用 特征 比 对 的 方法 分 析 速 度 快 ， 分 析 
结果 准确 明晰 ， 能 达到 检测 网 页 是 否 存 在 恶意 代码 的 目的 。 








挂 马 工具 产生 代码 \ 
和 、 
挂 马 页 面 


> 


Sp AAA 
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bs > 
as 


黑客 编写 挂 马 页 面 常 用 手段 





。 特征 库 比 对 

经 过 安全 沙 箱 分 析 及 人 工分 析 的 长 期 积累 形成 了 恶意 网 页 代码 特征 库 ， 通 过 对 页 面 的 
特征 进行 比 对 ， 识 别 恶 意 URL。 亚 意 网 页 代码 特征 不 是 一 个 简单 的 字符 串 ， 而 是 包括 了 上 
下 文 天 系 及 多 个 特征 串 关 联 的 一 种 特征 匹配 库 。 


恶意 网 站 站 列 万 法 一 反 变 形 


页 通 音 采 用 的 目 我 隐藏 方法 ， 达 到 典 避 特征 检测 的 方 
法 ， 因此 和 I 文 些 变形 的 网 页 首先 进行 反 变 形 还 原 


a 


二 使 用 工具 对 代码 变形 Q 


型 
时 tb he 一 > 变形 的 挂 马 页 面 


一 些 转换 函数 = 
有 


关键 函数 进行 替换 





EA “PN 对 页 面 进行 检测 








必 
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。 恶意 网 页 代码 还 原 技术 


针对 恶意 网 页 采用 的 页 面 拆 分 、 函 数 变 换 、 代 码 变形 等 技术 ， 在 对 页 面 进 行 分 析 时 对 
变形 的 代码 进行 还 原 。 


恶意 网 站 惧 列 万 法 一 页 面 解 客 


。 加 密 同样 是 恶意 网 页 通常 采用 的 目 我 隐藏 方法 ， 采 用 脚本 加 密 的 方 
法 将 网 页 内 容 变 得 面目 全 非 ， 达 到 躲避 特征 检测 的 方法 ， 因 此 需要 
对 页 ” 面 进行 必要 的 解密 ; 

页 面 加 密 方式 、、 X 





使 用 工具 对 代码 加 密 
> 加 密语 的 挂 马 页 面 
| 自 定 义 的 加 密 方 法 。 


| 


对 加 密 页 面 进行 解密 。 /gpssso 旨 ”对 页 面 进行 检测 








| 使 用 脚本 自 带 的 | 
加 密 函数 进行 加 密 





4 
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。 恶意 网 页 代码 解密 技术 


针对 恶意 网 页 代码 的 脚本 加 密 、 工 具 加 密 、 自 定义 加 密 函 数 等 加 密 技 术 ， 使 用 脚本 解 
密 技术 对 恶意 网 页 代码 还 原 ， 达 到 多 层次 跟踪 判断 的 目的 。 


涉 昔 网 站 识别 万 法 一 Shellcode 


。 Shellcode 是 一 上 段 缓冲 区 洲 出 代码 ， 通 常 和 ActiveX 插 件 配合 使 用 
， 用 来 溢出 具有 漏洞 的 计算 机 ， 达 到 黑客 控制 目的 ， 一 段 
Shellcode 会 被 多 个 恶意 网 页 5 引用， 网 页 中 是 否 存 在 shellcode 是 
判断 是 否 恶意 网 页 的 重要 标准 。 X 


Shellcode 使 用 方式 


使 用 公开 的 shellcode EE 对 已 知 shellcc de 和 和 


进行 缓冲 区 溢出 插件 特征 进行 检 观 





ei ah : = > 对 疑似 shel cde 江 出 


进行 水箱 迁 济 
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基于 shellcode 的 防护 方法 是 总 多 防护 方法 的 语种 ， 是 从 shellcode 的 角度 出 发 对 绥 冲 
区 溢出 攻击 进行 检测 并 防御 ， 这 种 方法 也 不 可 能 万 无 一 失 ， 为 保证 系统 安全 ， 建 议 同 其 他 
音 施 配合 使 用 以 提高 系统 安全 性 ， 比 如 对 系统 进行 配置 ， 关 闭 不 必要 的 服务 ， 隐 藏 系统 信 
息 以 降低 攻击 成 功率 ， 及 时 安装 补丁 程序 ， 防 止 已 知 漏洞 攻击 ， 安 装 防火 墙 以 限制 远程 攻 
击 者 对 本 地 系统 的 连接 ， 同 时 ， 系 统 使 用 者 也 要 提高 警惕 ， 定 期 对 系统 进行 全 面 的 检查 以 
确保 系统 安全 。 


付 测 并 预防 Shellcode 是 阻止 缓冲 区 溢出 攻击 成 功 的 最 后 一 道 防 线 ， 在 其 他 防御 拉 术 
失败 的 情况 下 能 够 保护 系统 的 安全 ， 在 缓冲 区 溢出 漏洞 完全 消除 前 具有 非常 重要 的 价值 ， 
当然 ， 这 种 技术 还 存在 不 足 ， 如 何 能 在 不 影响 系统 和 程序 的 正常 执行 及 性 能 的 情况 下 ， 对 
shellcode 作 尽 可 能 全 面 的 监控 和 检查 ， 还 有 待 进一步 完 。 


‘TT 三 一 二 |- 、 一 A 人 一 、 

。 网 页 行为 是 指 网 页 在 计算 机 上 被 解释 执行 后 可 能 产生 的 动作 ， 比 如 
操作 文件 ， 读 写 注 册 表 等 ， 对 某 些 特定 行为 的 检测 可 以 明晰 的 界定 
一 个 网 页 是 人 否 存在 恶意 代码 。 

对 文件 执行 进行 监控 


对 部 分 目录 瑟 文件 
操作 进行 监控 


对 网 络 GET 行 为 进行 监控 





a 
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。 安全 阔 箱 技术 


通过 安全 沙 箱 拉 术 对 疑似 恶意 页 面 进 每 分 析 ， 对 未 识别 的 网 页 提取 新 的 挂 马 技 术 特 征 ， 


形成 局 发 式 识 别 能 力 ， 对 网 页 木马 上 下 文 关系 和 上 典型 恶意 代码 特征 形成 特征 库 ， 达 到 识别 
新 网 页 木马 的 能 ) 


缚 目录 


1，WEB 过 滤 技 术 概 述 
2. WEB 过 滤 关 键 技术 
3. WEB 过 滤 技 术 应 用 
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WEB 过 滤 技 术 应 用 场景 介 


外 部 网 络 


安全 设备 


分 支 机 构 URL 的 远程 预定 义 分 类 服务 器 
、 VPN 


拟 拟 

拟 拟 

所 所 
WEB 等 应 用 服务 器 群 。_< 
安全 设备 “一 


开启 防火 墙 、web 过 小 
一 合作 伙伴 


的 
Copyright @ 2013 Huawei Technologies Co., Ltd. All rights reserved. Page 41 


WW HuAwel 





WEB 过 滤 技 术 应 用 功能 列表 


。 提供 WEB 过 滤 的 突 免 IP 地 址 集 ; 
。 根据 本 地 配置 的 黑白 名 单 进行 WEB 过 滤 ; 
根据 自 定 义 分 类 进行 WEB 过 滤 ; 
根据 预定 义 分 类 进行 WEB 过 滤 ; 
支持 HTTP 访问 日 志 记 录 ; 
文 持 功能 的 license 探 制 。 
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WEB 过 滤 配 置 流程 


| 
配置 Web 过 小 全 局 参 获取 预定 义 分 类 
数 〈 必 选 ) (可 选 ) | 
| X 
配置 URL 过 滤 策略 新 建 URL 自 定义 分 类 
(可 选 ) (可 选 ) 


新 建 Web 过 滤 策 略 
( 必 选 ) 

应 用 Web 过 滤 策略 
( 必 选 ) 
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。 配置 Web 过 滤 全 局 参数 


Web 过 滤 的 全 局 参数 :URL 过滤、URL 热 点 库 、 阻 断 动 作 、 返 回 码 、 重 定向 URL、 
Web 推 过 内容。 


。 配置 URL 过 滤 策 略 
获取 预定 义 分 类 : 当 需 要 在 RL 过滤 中 使 用 预定 义 分 类 ， 需 要 先 获取 预定 义 分 类 相关 
局 忆 ， 
新 建 URL 自 定义 分 类 :需要 在 URL 过 滤 中 使 用 自 定义 分 类 时 需要 配置 : 
URL 过 滤器 : 当 需 要 在 Web 过 滤 中 使 用 URL 过 滤 功 能 时 需要 配置 。 
。 新 建 Web 过 滤 策略 
可 以 在 Web 过 滤 中 同时 开局 URL 过 滤 、 搜 索 天 键 字 过 滤 和 Web 内 容 过 滤 。 
。 配置 自 定 尺 策略 
在 域 间 应 用 Web 过 滤 策略 后 ，Web 过 滤 才 真正 生效 。 


WEB 过 滤 全 局 参数 配置 


rs UTM 》 Webi 过 泪 》 策略 》 
Web 过 滤 基 本 配置 


一 Sorry, the website is 全 nipdpu 
重 定向 have no privilege to ecass 
httpJwww.abcdcom:8080 - websites 


。 配置 局 用 URL 过 滤 
。 配置 局 用 URL 热 点 库 
。 配置 阻 断 动作 
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。 选择 “UTM > Web 过 滤 > 策略 ”。 
。 配置 全 局 参数 。 
URL 过 滤 : 只 有 在 URL 过 滤 功 能 启用 的 情况 下 ， 配 置 的 URL 过 滤 配 置 才 生 效 。 


URL 热 点 库 :URL 热 点 库 中 保存 了 薰 点 网 站 分 类 信息 。 通 过 启用 URL 热 点 库 功 能 ， 可 以 减 
少 远程 查询 分 类 的 次 数 时 ， 提 升 URI 查 询 的 效率 


阻 断 动作 : 当 用 户 的 HTTP 访 问 航 URL 过 滤 、 搜 索 天 键 子 过 滤 、Wepb 内 容 过 小 阻 断 时 ， 设 
备 采 取 的 动作 。 


页 面 推送 : 将 Web 推 送 页 面 推送 给 用 户 。 

重 定 同 : 给 用 户 重 定 同 到 另 一 个 URL 地 址 。 

返回 码 :通常 情况 下 不 需要 修改 。 返 回 码 的 数值 和 含义 如 下 : 

200: 请 求 成 功 

403: 茶 目 访问 

404: 没有 找到 

406: 条 可 接受 

重 定 向 URL: 用 户 重 定向 的 目的 地 址 。 例 如 : http://www.abcd.com:8080， 只 支持 
HTITP 协 议 。 


Web 推 送 内 容 : 配置 Web 推 送 的 内 容 。 
单 击 的 


获取 预定 义 分 基 





安全 服务 中 心 巡 接 状态 
安全 服务 中 心 连 接 状 态 
URLj 过 滤 预 定义 分 类 查询 服务 过 期 时 间 


URL 分 类 列表 (4) 


中 新 建 只 时 浅 个 剧 新 || 请 输入 分 类 名 称 


Web sites related to P2P 

Web sites related to kinds of download 

Web sites related to kinds of culture(arts,history,etc.) 

Web sites related to kinds of Sports 

Web sites related to kinds ofSocal Focus(Social isSSUcsGeology human rights ,etc.) 
Web sites related to military 

Web sites related to SNS 

Web sites related to lottery 

Web sites related to recreation(games oartoam eHet dating, etc.) 
Web sites related to religion 

Web sites related to sex but noporm 

Web sites related to real estate andhousehold 
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URL 分 类 是 具有 相同 特征 的 URL 集 合 。URL 分 类 包括 两 种 : 预定 义 分 类 和 自 定义 分 类 ， 
预定 义 由 安全 服务 中 心 提 供 并 维护 ， 目 寅 汉 分 类 由 用 户 目 行 配置 和 维护 。 用 户 可 以 指定 每 
个 URL 分 类 的 控制 动作 ， 从 而 达到 URL 过 滤 的 目的 。 


。 获取 预定 义 分 类 


设备 通过 安全 服务 中 心 获取 的 被 查询 URL 的 预定 义 分 类 ， 然 后 根据 返回 的 分 类 以 及 配 
置 的 分 类 控制 动作 决定 是 否 人 允许 该 URL 进 行 访问 。 缺 省 情况 下 ， 设 备 发 现 分 类 不 全 的 情况 
下 ， 才 会 主动 向 安全 服务 中 心 更 新 分 类 。 


。 查看 安全 服务 中 心 的 连接 状态 。 


0 连接 中 : 表示 正在 建立 连 和 请 观察 一 段 时 间 ， 看 安全 服务 中 心 的 连接 状态 是 变 
成 了 已 连接 还 是 未 连接 ， 然 后 根据 以 下 相应 的 状态 进行 处 理 。 


0 已 连接 : 未 示 已 经 建立 连接 。 系 统 会 定时 地 目 动 从 安全 服务 中 心 上 获 取 最 新 的 预 


定义 分 类 。 


0 ,未 连接 :表示 没有 建立 连接 。 请 检查 安全 服务 中 心 的 配置 (配置 路 径 : “系统 > 
维护 > 升级 中 心 ”) 、DNS 的 配置 (配置 路 径 : “网 络 > DNS > DNS”) 、 物 理 
连接 和 路 由 ， 确 保 连 接 到 安全 服务 中 心 。 


。 查看 “URL 过 滤 预 定义 分 类 查询 服务 过 期 时 间 ”。 
人 单 击 “激活 ”， 激 活 URL 过 滤 预 定义 分 类 查询 服务 。 
。 ~ 在 “URL 分 类 列表 ”中 单 击 “ 刷 新 ”， 查 看 最 新 的 预定 义 分 类 。 


新 建 URL 目 定义 分 类 


新 建 URL 地 址 


选择 URL 对 象 组 或 者 在 已 选 框 中 新 建 URL 组 
可 选 


QQ 查询 恺 刷新 


新 建 URL 地 址 组 
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。 新 建 URL 自 定义 分 类 
用 户 可 以 根据 需要 创建 自 定义 URL 分 类 ，HTTP 请 求 直接 与 自 定 义 分 类 进行 匹配 ， 并 根 
据 目 定义 分 类 的 控制 动作 进行 URL 过 滤 。 
。 选择 “UTM > Web 过 滤 > URL 分 类 ”。 
。 单 击 “ 新 建 ”。 
。 依次 输入 或 选择 各 项 参数 。 
oO 名 称 : 自 定义 分 类 的 名 称 。 
D 描述 :和 目 定 义 分 类 的 描述 信息 ， 方 便 识 别 自 定 义 分 类 的 用 途 。 
5 选择 URL 对 象 组 :通过 引用 URL 对 象 组 来 配置 自 定义 分 类 。 
v 将 “可 选 ”区域 框 中 的 对 象 组 移 到 “已 选 ” 表 示 引 用 这 些 对 象 组 。 
v 可 以 在、 已 选 ”区域 框 中 单 击 “ 新 建 ”， 创 建新 的 对 象 组 。 


XURL 对 象 组 只 匹配 URL 的 非 参 数 部 分 。 例 如 对 于 
http://www.abcd.com/news/education.gspxsname=tom&qge=20， 吕 
匹配 “www.abcd.cormy/news/education.aspPx” 部 分 。 


加 单 击 “应 用 ” , 


新 建 U RL 过 滤 


新 建 URL 过 滤 藻 


摘 坟 


> 
默认 动作 阻 断 = 


Y| 启用 URL 白 名 单 Y| 启用 URL 时 名单 
V| 启用 自 定义 分 类 过 波 Y | 启用 预定 义 分 类 过 滤 
控制 选项 


URL 晶 名单 
URL 轩 名 单 


aaaa 
暴力 
Web sites related to P2P 
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URL 过 滤器 也 可 以 叫做 URL 过 滤 策 略 。, 配 置 URL 过 滤 策略 包括 配置 黑白 名 单 、URL 的 默 
认 访 问 控制 动作 、 ee 配置 完成 URL 过 滤器 后 ， 需 要 在 Web 过 滤 策 略 中 
5| 用 URL 过 才 滤 器 。 


。 新 建 URL 过 滤器 
D 选择 “UTM > Web 过 滤 关 昌 RBL 过 滤器 ”。 
oO 单 击 “ 新 建 ”。 
0 配置 “名 称 ”、 和 “描述 ”。 
D 单 击 “ 应 用 ”/。 
0 在 “默认 动作 ”中 配置 URL 过 滤 的 默认 访问 控制 动作 。 
o 配置 白 名 单 。 
D 配置 黑 名 单 。 
oO /配置 目 定 义 分 类 ， 包 括 是 否 启 用 自 定 义 分 类 、 
D 配置 预定 义 分 类 ， 包 括 是 否 局 用 预定 义 分 类 
bs、 单 击 “ 应 用 ”。 


IBH 
CH 
ln 
讨 
< 
过 
全 
过 
字 
中 
洒 


新 建 Web 过 滤 策 略 


Web 策 略 列表 

Fi js 秩 刷 新 | 请 输入 第 略 名 称 
名 称 ) 

(D 


过 滤 选 项 告警 处 理 对 象 组 阻 断 处 理 对 象 组 
搜索 关键 字 
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。 新 建 Web 过 滤 策 
0 选择 “UTM > Web 过 滤 > 策略 ”WW 
D 单 击 “新 建 ”。 
D 配置 Web 过 滤 策 略 的 “名 称 和 和 “描述 ”。 
D 单 击 “ 应 用 ”。 
oO 在 “URL 过 滤器 ”下 搓 列 表 框 中 选择 URL 过 滤 策 略 ， 引 用 URL 过 滤器 
D 配置 搜索 天 键 字 过 减 % 
搜索 关键 字 过 滤 指 对 搜索 关键 字 进 行 过 滤 ， 对 不 符合 要 求 的 关键 字 进 行 过 滤 。 
目前 文 持 进 行 关 键 子 过 滤 的 搜索 引擎 有 Coogle、Yahoo、Bing、 百 度 。 
。 选中 “启用 搜索 关键 字 过 滤 ” 前 的 复 选 框 。 
单 击 “搜索 关键 字 ” 对 应 的 ”。 国 
在 出 现 的 对 象 组 列表 中 选择 处 理 动作 。 
。 单 击 “确定”。 


过 滤 选 项 GD 告警 处 理 对 象 组 阻 断 处 理 对 象 组 
网 页 浏览 关键 字 
HTTP POST 关键 字 
上 传 文件 名 称 关键 字 
下 载 文件 名 称 关键 字 
上 传 文 件 类 型 
下 载 文件 类 型 


口 禁 上 HTTP PosT| POST @3) 
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。 配置 Web 内 容 过 滤 。 


选中 “局 用 Web 内 容 过 滤 ”， 司 用 Web 内 容 过 滤 功 能 。 


o 单 击 “ 过 滤 选 项 ”中 各 个 配置 项 对 应 的 国 。 
o 在 出 现 的 对 象 组 列表 中 选择 处 理 动 作 。 
o 单 击 “确定 ”。 
。 选中 /取消 选中 “禁止 HTTPPGOST” ， 控 制 HTTP POST 行为 。 
o POST 指向 服务 器 发 送 包 含 在 HTTP 请 求 中 的 信息 ， 一 般 用 于 回 网 页 、BBS、 邮 件 群 


组 和 数据 库 发 送信 息 ， 例 如 发 帖 、 上 传 网 页 内 容 等 。 
配置 通过 Web 条 传 或 下 载 的 文件 大 小 过 滤 。 


。 单 击 “ 应 用 ”。 


应 用 web 过 


转发 策略 列表 


中 新 建 耽 遇 除 鼻 刷 新 || anyzone Y| —>| anyzone | 息 查 鹿 | 加 高 级 查询 


® ID 源 地 址 目的 地 址 用 户 服务 时 间 段 


J untrust->trust 


FF IPS 
FF AV 


Eee” 


Webj 过 滤 策 本 暴力 


厂 邮件 过 滤 
厂 FTP 过 滤 
厂 应 用 控制 


记录 日 志 
开启 策略 会 话 流量 统计 
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。 配置 完 策 略 后， 需要 应 用 邮件 过 滤 策 略 。 
D 选择 “防火 墙 > 安全 策略 > 转发 策略 ”。 
0 在 “转发 策略 列表 ”中 ， 单 击 “ 渐 建 ”。 
0 在 “新 建 转发 策略 ”区 域 凡 依次 输入 或 选择 各 项 参数 。 
0 选中 “web 过 滤 ” 复 选 框 ， 并 选择 前 面 配置 的 相应 策略 。 
D 单 击 “ 应 用 ”, 完成 Web 过 滤 策 略 应 用 的 配置 。 
。 Web 过 滤 URL 的 优先 顺序 他 : 峪 免 IP--、 白 名 单 --〉 黑 名 单 --〉 自 定义 分 类 和 预定 义 分 类 


HTTP 访 |9j 日 志 的 配置 


[IPS 
[AV 
l¥ Web 过 法 


Webj 才 汇 策 略 暴力 


三 邮件 过 滤 
|。 FTP 过 滤 
厂 应 用 控制 


开启 策略 会 话 流 旦 统计 
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。 Web 内容 过 滤 配 置 注意 事项 : 


口 


口 


口 


不 支持 关键 子 的 正则 表达 式 配 置 

非 HTTP 协 议 及 韭 文 本 格式 的 页 面 内 容 ， 无 法 过 滤 

Web 内 容 过 滤 需 要 进行 大 量 解 析 , 匹 配 工作 ， 效 率 相 对 较 低 

流量 下 压力 下 ， 会 话 会 跳 过 检 疯 环 市 直接 转发 

虽然 HTML 解 析 过 程 申 对 确定 不 会 显示 到 页 面 上 的 控制 标签 ， 属 性 名 等 不 进行 过 滤 ， 
但 共 些 虽然 不 可 显示 的 页 面子 符 串 仍 然 可 能 会 命中 显示 的 天 键 子 

下 载 过 程 只 检查 TEXT/HTML 和 TEXT/PLAIN 


上 传 目 前 只 检查 multipart/form-data 和 为 application/x-www-form- 
Urlencoded, 


可 以 支持 浏览 器 显示 内 容 的 完整 过 滤 


总 结 


。 WEB 威 胁 基础 知识 

。 URL 过 滤 技 术 

。 搜索 关键 字 过 滤 技 术 
WEB 内 容 过 滤 技 术 
WEB 过 滤 技 术 应 用 
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1. URL 过滤 的 前 级 匹配 针对 于 hostname/path 部 分 ， 参数 匹配 针对 于 


X 


query 部 分 。 
。 多 选 题 
1. 下 列 属于 WEB 过 滤 技 术 的 有 ? 
A、 网 站 URL 分 类 过 小 
B、 恶 意 网 页 URL 过 滤 
C、 基 于 内 容 WEB 过 滤 
D、 基 于 DPI 上 网 行为 控制 
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习题 与 答案 : 

、 下 列 属 于 WEB 过 滤 技术 的 有 ? 
A、 网 站 URL 分 类 过 滤 
B、 和 恶意 网 页 URL 过 滤 
C、 基 于 内 容 WEB 过 滤 
D、 基 于 DPI 上 网 行为 控制 


答案 : A|B|C 


Si 


2、URL 过 滤 的 前 弘 匹 配 针 对 于 hostname/path 部 分 ， 参 数 匹 配 针 对 于 query 部 分 。 


人 
av 
做 


WwWw.huawel.com 


Thank you 





第 五 草 垃圾 邮件 过 渡 





目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
o 了 解 垃圾 邮件 的 基本 概念 ; 
了 解 垃圾 邮件 的 产生 及 危害 ， 
熟悉 垃圾 邮件 过 滤 技 术 原 理 ; 
掌握 垃圾 邮件 过 滤 技 术 应 用 。 
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@ 目录 


.垃圾 邮件 介绍 

.垃圾 邮件 过 滤 技 术 介 绍 
. RBL 邮 件 过 滤 技 术 
.邮件 内 容 过 滤 技 术 

.垃圾 邮件 过 滤 技 术 应 用 
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电子 邮件 基本 概念 


电子 邮件 是 一 种 通过 网 络 提供 信息 交换 的 通信 方式 。 
完整 的 电子 邮件 一 般 包 括 邮 件 地 址 、 主 题 、 正 文 、 附 件 。 
o SMTP 

o POP3 

o MUA 

o MTA 
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电子 邮件 是 一 种 通过 网 络 提供 信息 交换 的 通信 方式。 通过 电子 邮件 ， 用 户 可 以 迅速 地 
与 网 络 上 的 用 户 发 送 或 接受 信息 ， 这 些 信息 本 以 是 文字 、 文 件 、 图 片 等 。 电 子 邮 件 的 特点 
是 : 使 用 方便 、 传 输 迅 速 、 费 用 低廉 、 易 于 保存 、 一 对 多 发 这 ， 使 得 电子 邮件 被 广泛 地 应 
用 。 完 整 的 电子 邮件 一 般 包 括 邮 件 地 址 主题、 正文 、 附 件 。 邮 件 地 址 包括 收 件 人 地 址 ( 
主 送 人 、 抄 送 人 和 密 送 人 ) 和 发 件 大 地 址 ， 格 式 一 般 为 host@domainname.type， 例 如 
: obc@yahoo.com。 domqinname 为 域名 的 标识 符 ， 也 就 是 邮件 必须 要 发 送 到 的 邮 
件 目的 地 的 域名 。host 为 在 该 域名 上 的 邮箱 地 址 。 type 一 般 则 代表 了 该 域名 的 性 质 或 地 
区 的 代码 。 例 如 : com、edUxcn、gov、org。 

。 名 词 解释 : 
og SMTP (Simple Moail Transfer Protocol ) 是 电子 邮件 系统 的 基础 协议 ， 基 于 TCP 
服务 的 应 用 层 协议 ， 端 口号 25， 用 于 电子 邮件 的 传输 ; 
o POP3 人 Post Office Protocol V3 ) 是 目前 最 普遍 使 用 的 邮局 协议 ， 用 于 把 邮件 
从 服务 器 六 邮局 ) 收 下 来 ; 

oo MUA (Malil User Agent) 邮件 用 户 代理 程序 ， 也 可 以 简称 为 用 户 代 理 程 序 ， 是 
外 OUtlook, Foxmail 等 的 邮件 客户 端 程序 ， 实 际 上 是 这 个 程序 在 帮助 用 户 进行 邮 
件 的 发 送 和 接收 ， 所 以 称 它 为 “代理 ”。 

oo MFA (Moail Transfer Agent) 邮件 发 送 代理 程序 ， 一 般 是 指 邮件 服务 器 ， 他 们 的 

重要 职责 是 邮件 的 传递 。 

b” 邮箱 是 指 在 整个 传递 过 程 中 ， 所 有 邮件 可 以 被 “缓存 ”的 地 方 。 比如 Outlook 

里 面 可 以 有 本 地 邮箱 ， 邮 件 服务 器 上 可 以 有 “服务 器 邮箱 ”等 概念 ， 最 后 收 件 人 
用 Qutlook 也 是 通过 POP3 协议 把 邮件 从 “服务 器 邮箱 ”里 接收 下 来 。 


电子 邮件 基本 原理 


。 一 封 电子 邮 件 的 发 送 过 程 如 下 图 所 示 : 


DNS 服 务 器 


全 
= 
Be 
用 户 代 理 yy 本 地 MTA 远 端 MTA 


Outlook ， SMTP Smtp.a.com SMTP pa pOPp3, Outlook 


发 件 人 收 件 人 
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。 一 般 的 ， 一 封 电 子 邮 件 的 发 送 过 程 如 下 : 
oO 发 件 人 通过 用 户 代理 程序 ， 如 OUtlook 撰 写 邮 件 ; 
5 该 邮件 通过 SMTP 协 议 传递 给 本 地 MTA (邮件 传输 代理 ) ; 
D 本 地 MTA 通 过 DNS 服 务 器 查询 目的 服务 器 的 MX 记录 ; 
0 本 地 MTA 通 过 SMTP 协 议 发 送 给 远 端 MITA， 也 就 是 接收 端 服务 器 ; 
D 收 件 人 使 用 用 户 代 理 程序 ， 如 Ovutlook， 通 过 POP3 协 议 将 邮件 取 下 来 。 
注意 : 这 里 提 及 的 DNS 服务器， 和 RBL 使 用 的 DNS 技术 没有 直接 联系 。 


DNS 服务 器 里 有 SMX 记录 (邮件 交换 记录 ) ， 和 简单 点 看 ， 束 是 用 于 查找 邮件 发 送 路 径 
的 “邮件 路 由 表 ”。 这 个 只 是 邮件 发 出 去 的 时 候 ， 服 务 器 去 找 接收 侧 服务 器 的 地 址 的 一 个 
过 程 而 已 。 


垃圾 邮件 的 定义 


。 垃圾 邮件 是 包括 下 述 属性 的 电子 邮件 : 
a 收 件 人 事先 没有 提出 要 求 或 者 同意 接收 的 广告 、 电 子 刊物 、 各 种 形式 的 
宣传 品 等 宣传 性 的 电子 邮件 ; 
收 件 人 无 法 拒 收 的 电子 邮件 : X 


隐藏 发 件 人 身份 、 地 址 、 标 题 等 信息 的 电子 邮件 ; 
含有 虚假 的 信息 产 、 发 件 人 、 路 由 等 信息 的 电子 邮件 。 


携带 病毒 和 木马 的 邮件 也 是 垃圾 邮件 ! 
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简单 来 说 : 垃圾 邮件 束 是 为 实现 节 种 目的 ,而 批量 发 送 未 经 过 收 件 人 同意 的 电子 邮件 。 


在 该 规范 中 并 未 将 病毒 邮件 列 入 其 中 但 在 现实 网 络 中 以 传播 病毒 和 木马 为 目的 的 电 
子 邮 件 在 垃圾 邮件 中 所 卢比 例 成 上 升 趋势 。 


垃圾 邮件 产生 原因 


经 济 利 丛 的 驱动 ; 
SMIP 协 议 缺 陷 ; 
开放 的 互联 网 ; 

无 意 导致 的 误 发 送 。 
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1985 年 8 月 出 现 了 第 一 封 通过 电子 邮件 发 送 的 连锁 信 ， 这 是 由 记录 的 最 早 的 垃圾 邮件 。 
1994 年 4 月 出 现 了 通过 电子 邮件 发 送 的 广告 邮件 ， 该 邮件 发 这 范围 之 广 导致 在 互联 网 上 产 
生 严 重 影 响 ， 并 首次 以 3PAM 命 名 垃圾 邮件 。1995 年 5 月 专门 用 于 发 送 垃 圾 邮件 的 群发 软 
件 FIloodgqte 出 现 。 


。 拉 术 环境 : 互联 网 发 展 初期 的 局 限 性 导致 对 协议 安全 的 忽略 。 


o SMIP 协议 非常 开放 ， 早 期 甚至 连 起 码 的 双向 认证 都 没有 ， 这 为 垃圾 邮件 的 产生 
做 了 技术 的 铺垫 。 


o SMTP 缺 乏 对 发 信 方 进行 身份 验证 机 制 |; 
0 协议 基于 文本 方式 》 无 加 密 校 验 机 制 ; 
5 邮件 可 通过 第 三 方 转发 。 
。 经 济 利益 或 者 其 他 利益 驱动 
0 大 量 的 广告 、 网 络 营 销 : 这 是 最 传统 的 ， 相 对 危害 较 小 ， 但 是 很 让 人 烦 。 
of 非法 言论 : 不 利于 社会 安定 、 国 家 安全 ; 
0 钓鱼 ( 含 恶 意 软件 ) : 信息 安全 ， 损 坏 信息 资产 ， 影 响 设备 正常 工作 。 


最 近 盖 次 垃圾 邮件 报告 显示 ， 垃 圾 邮件 甚至 已 经 用 于 操纵 股市 的 股票 ， 通 过 大 量 垃圾 
邮件 诽谤 、 造 衣 ， 制 造 盘 论 控制 某 一 支 股票 的 涨 跌 ， 从 而 牟利 。 


TCP/IP 协 议 的 开放 性 


垃圾 邮件 的 发 送 手 段 


通过 各 种 方法 (购买 ， 偷 禄 ) 获取 接收 人 列表 
使 用 专门 的 服务 器 来 发 送 垃圾 邮件 
通过 破解 等 黑客 手段 挟持 他 人 服务 器 或 者 主机 来 发 送 垃 圾 邮件 % 
破解 他 人 的 社交 网 络 帐 号 来 发 送 垃圾 邮件 
综合 运用 多 种 躲避 垃圾 邮件 检查 的 手段 
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曾经 有 过 很 多 身 名 昭著 的 垃圾 邮件 服务 器 ,得 是 在 琴 班 斯 法 案 执行 后 ， 专 用 于 发 送 垃 
圾 邮件 的 服务 器 逐渐 减少 ， 但 是 仍旧 是 不 可 忽视 的 力量 。 


塞 班 斯 法 案 是 信息 安全 领域 很 重要 的 一 个 法 案 ， 对 于 信息 监管 提出 了 很 严厉 的 要 求 。 


互联 网 垃圾 邮件 现状 


。 垃圾 邮件 占 总 邮件 数量 的 比例 大 约 在 80% - ?0%。 

。 垃圾 邮件 占用 了 大 量 的 网 络 资源 和 存储 空间 

。 垃圾 邮件 滔 费 了 邮件 使 用 者 的 至 贯 时 间 

。 由 于 钓鱼 等 行为 的 存在 ， 垃 圾 邮件 严重 影响 了 信息 安全 。 


X 
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垃圾 邮件 已 经 成 为 互联 网 最 突出 的 问题 之 一 党 根据 赛 门 铁 克 的 统计 ， 全 球 互联 网 上 每 
天 垃圾 邮件 的 发 送 量 在 几 百 亿 甚 至 上 干 亿 封 怜 垃 圾 邮件 占 总 邮件 量 的 比例 大 约 在 80% - 
907%。 


目前 存在 不 少 来 目 其 他 国家 或 者 皮 动 组 织 发 送 的 政治 言论 类 电子 邮件 ， 这 残 跟 垃圾 的 
商业 广告 一 样 ， 销 售 和 贩卖 他 们 的 电 调 言论 。 

需 虫 病毒 邮件 。 越 来 越 多 的 病毒 通过 电子 邮件 来 迅速 传播 ， 这 也 的 确 是 一 条 迅速 而 且 
有 效 的 传播 途径 。 

恶意 邮件 (恐吓 、 其 骗 性 邮件 ) 。 比 如 phishing， 这 是 一 种 假冒 网 页 的 电子 邮件 ， 完 
全 是 一 种 诡计 ， 来 蒙骗 用 户 的 个 人 信息 、 账 号 甚至 信用 卡 。 


以 木马 和 病毒 < 低俗 内 容 以 及 垃圾 邮件 为 代表 的 影响 纯净 网 络 建设 的 三 大 因素 ， 不 仪 
影响 到 互联 网 信息 的 甄别 和 获取 ， 还 严重 克 胁 着 各 个 国家 的 网 络 安全 。 


垃圾 邮件 的 危害 


降低 生产 力 

做 黑客 利用 
损害 ISP 品 牌 形象 
危害 社会 
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。 降低 生产 力 


泛滥 成 灾 的 商业 性 垃圾 信件 每 五 个 月 数量 翻 倍 ， 阅 读 、 删 除 这 些 垃圾 邮件 者 会 市 来 生 
产 力 的 损失 。 


。 个 黑 客 利用 


垃圾 邮件 被 黑客 利用 成 助 纠 为 虐 的 工具 ， 黑 客 在 垃圾 邮件 中 携 市 木马 、 病毒 并 诱惑 用 
户 去 执行 ， 从 而 在 用 户主 机 点 植 入 林 马 、 病 毒 程序 。 


全 员 害 |SP 品 牌 形 象 


频繁 转 发 垃圾 邮件 的 SR 主机 会 似 上 级 国际 因特网 服务 提供 商 列 入 国际 垃圾 邮件 数据 库 ， 
从 而 导致 该 主机 发 出 的 邮件 航 其 它 :SP 拒 绝 。 


。 危害 社会 
妖言 惑 众 、 骗 人 钱财 、 传 播 色 情 等 内 容 的 垃圾 邮件 ， 将 危害 现实 社会 。 


垃圾 邮件 主要 类 型 

。 在 这 些 类 型 的 垃圾 邮件 中 ， 目 前 尤 以 病毒 邮件 居多 ， 高 达 40% 以 上 。 
3 人 |， 

传闻 件 | 、、 


全 部 件 服务 器 
业 宣 传 邮件 : ea 
政治 宣传 邮件 
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垃圾 邮件 拉 术 分 析 


分 布 式 发 送 ”| 结合 病毒 特性 


垃圾 邮件 多 采用 | 关键 字 动 态 变 化 ”| 采用 分 布 式 的 发 结合 蠕虫 病 囊 的 
IP 地 址 或 域名 变 | 采 用 附件 代 蔡 文 | 送 方式 ， 以 防止 | 自动 传播 机 全， 
换 技术 ， 达 到 其 | 本 内 容 地 址 或 域名 屏蔽 4 实现 垃圾 邮件 的 
骗 反 垃圾 邮件 系 | 信 头 、 正 文 动态 大 量 发 这 8 
统 的 目的 。 变化 

内 容 图 片 化 
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技术 的 进步 及 普及 导致 垃圾 邮件 的 制作 者 的 拷 术 水 平 越 来 越 高 ， 对 新 技术 的 熟练 使 用 
使 垃圾 邮件 的 检 疯 难度 增 大 。 垃 圾 邮件 采用 移 种 动态 变换 技术 逃避 检测 。 和 针对 目前 反 垃圾 
邮件 技术 手段 ， 垃 圾 邮件 通常 采用 以 下 技术 逃避 检 疯 : 动态 IP、 动 态 内 容 、 分 布 式 发 送 、 


结合 病毒 特性 。 
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哩 见 的 垃圾 邮件 过 滤 技 术 


El 
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垃圾 邮件 过 渡 技 术 一 一 统计 法 


贝 叶 斯 算法 
o 基于 统计 方法 ， 采 用 标记 权重 的 方式 ， 根 据 对 已 知 的 垃圾 邮件 和 非 垃圾 邮件 为 样 
本 进行 的 内 容 分 析 和 统计 来 计算 下 一 封 邮 件 为 垃圾 邮件 的 概率 ， 生 成 过 滤 规 划 s 


市 宽 统 计 


oO ”通过 统计 单位 时 间 内 某 固 定 IP 地 址 试图 连接 的 数量 是 否 在 预定 范围 ， 或 限制 有 效 
带宽 实现 反 垃圾 邮件 。 


邮件 数量 限制 

o 限制 单个 IP 在 单位 时 间 内 可 发 送 的 邮件 数量 。 

信誉 评分 技术 

o 基于 统计 的 技术 ， 采 用 信誉 评级 的 方法 实现 邮件 等 级 定义 。 
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采集 垃圾 邮件 样本 通常 的 办 法 是 使 用 密 唆 邮箱 '。 

由 于 贝 叶 斯 算法 是 通过 垃圾 邮件 样本 学 习 实 现 的 过 滤 ， 因 此 获得 的 垃圾 邮件 样本 越 多 
则 效果 越 好 。 

信誉 评分 拉 术 : 可 以 电子 邮件 信誉 比喻 成 信用 纪录 。 如 果 信用 纪录 不 恨 ， 你 就 
银行 取得 优惠 的 贷款 利 妃 。 同 理 ， 如 果 电 子 邮件 信誉 差 ， 发 出 的 电子 邮件 惑 会 被 归 入 垃圾 


邮件 。 


垃圾 邮件 过 沽 技术 一 一 列表 法 


。 DNS-RBLs 技 术 

o 通过 域名 反问 解析 检查 所 收 到 邮件 的 IP 地 址 与 其 名 称 是 否 一 
术 对 于 使 用 虚假 IP 发 送 的 垃圾 邮件 有 较 好 的 过 滤 效 果 。 

静态 黑 名 单 \4 

o 通过 配置 静态 黑 名 单 对 垃圾 邮件 进行 过 滤 ， 但 该 方法 对 于 IP 地 地 引 域 名 
变换 技术 并 无 效果 ， 因 此 在 实际 网 络 中 并 未 采用 。 

静态 日 名 单 

o 通过 设置 可 信和 名 单 的 方式 实现 ， 同 样 有 静态 黑 名 单 育 法 的 问题 。 
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RBL 原 理 : >MTP 服 务 器 接收 到 链接 请 求 ， 对 链接 地 址 进行 DNS 反 问 查 全 与 RBL 服 务 
器 建立 查询 ， 查询 得 到 肯定 的 结果 ， 则 拒绝 该 连接 。 查询 无 结果 ， 继 续 进行 连接 。 

RBL 的 优点 在 于 RBL 服 务 提供 商 维护 公共 RBLs， 使 用 者 仅 需 订阅 实时 黑 名 单 服 务 。 而 且 
RBLs 对 于 网 络 开 销 非 常 低 。RBLs 缺 点 在 于 易于 产生 误 报 。 因 此 在 使 用 中 需 谨 慎 使 用 丢弃 原 
则 。 


垃圾 邮件 过 涯 技术 一 一 着 头 法 


e。 SenderlD 


o 该 方案 为 Microsoff 提 出 ， 并 得 到 多 数 网 络 矿 商 文 持 ， 但 并 未 通过 IETF。 
该 技术 完全 依赖 于 DNS 特 性 ， 因 此 容易 遭受 攻击 。 


。 SPF 技 术 \4 


o SPF 是 发 送 方 策略 框架 (Sender Policy Framework) 的 缩写 x 其 上 昨 的 
用 于 防止 伪造 邮件 地 址 。 
e。 Domainkeys 


o 采用 验证 邮件 发 件 人 是 否 与 其 声称 的 邮件 域 一 致 ， 状 验证 邮件 的 完整 
性 。 该 技术 为 一 种 公 钥 + 私 钥 的 签名 技术 。 
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SPF 基 于 反 向 查询 技术 判断 邮件 的 指定 域名 和 IP 地 址 是 否 是 完全 对 应 的 。 基 本 原理 就 是 
伪造 邮件 的 地 址 是 不 会 真实 来 自 RMX 地 址 ， 因 此 可 以 判断 是 否 伪造 。 


垃圾 邮件 过 渡 技 术 一 一 其 他 


。 多 重 图 片 识 别 技术 
o 识别 通过 图 片 进行 隐藏 的 垃圾 邮件 。 
。 意图 分 析 技 术 
o 邮件 动机 分 析 技 术 。 
。 内 容 过 滤 
o 通过 分 析 邮 件 的 内 容 采 用 关键 子 过 滤 方 法 。 
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大 部 分 垃圾 邮件 背后 的 动机 是 使 收 信 广 咽 应 其 目的 接受 芭 物 ， 例 如 购买 商品 、 登 陆 和 
网 站 我 们 把 这 些 动 机 被 称 为 邮件 “意图 "人 4， 通过 分 析 邮 件 的 这 些 特 点 防御 垃圾 邮件 的 技术 
称 为 意图 分 析 。 
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WW HuAwel 


RBL 邮 件 过 滤 


RBL (Redal-time Blackhole List) ， 即 反 垃 圾 邮件 
RBL 通 过 定义 一 个 黑 名 单列 表 ， 在 该 列表 中 的 IP 地 址 对 外 发 布 的 邮 


件 即 为 垃圾 邮件 。 
提供 RBL 服 务 的 机 构 会 实时 更 新 黑 名 单列 表 来 保证 可 以 过 滤 最 和 前 


垃圾 邮件 。 
RBL 过 滤 只 支持 对 3MIP 协 议 传输 的 邮件 进行 过 滤 。 
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RBL (Redal-fime Blackhole List) 过 滤 功 能 可 以 通过 本 地 和 远程 黑白 名 单 对 使 用 SMTP 
协议 传输 的 邮件 进行 检查 ， 有 效 阻 隔 垃 圾 邮件 和 % 保护 邮件 服务 器 。 


设备 检测 到 3MIP 连 接 请 求 后， 提取 SMTP 和 连接 的 源 IP 地 址 ， 与 第 三 方 组织 提 供 的 动态 
更 新 的 远程 实时 黑 名 单 以 及 本 地 黑白 名 单 进行 比 对 ， 对 列 入 黑 名 单 的 邮件 进行 阻 断 。 


RBL 过 滤 拉 术 是 在 邮件 发 送 邮 件数 据 之 前 进行 过 滤 ， 及 时 有 效 的 阻 断 了 垃圾 邮件 ， 区 
约 邮 件 服务 器 资源 。 在 邮件 对 话 3MPP 连 接 开 始 阶 段 ， 检 查 客户 端 IP 地 址 是 不 是 特定 的 不 允 
许 连接 的 地 址 ， 如 被 列 入 黑 和 名 单 由 束 会 伞 立 刻 拒 绝 连接 。 这 里 的 黑 名 单 可 以 是 实时 黑 名 单 
(RBL) ， 也 可 以 是 用 户 配 置 的 黑 名 单列 表 。 


RBL 过 滤 技 术 实 际 上 是 二 个 可 供 查 询 的 iP 地址 列表 ， 通 过 DNS 的 查询 方式 来 查找 一 个 IP 
地 址 是 否 存 在 于 该 地 址 列表 ， 来 判断 其 是 否 修 列 入 了 该 实时 黑 名 单 中 。 





RBL 应 用 场景 及 工作 流程 


收 件 人 外 部 SMTP 服 务 器 


内 部 SMTP 服 务 器 
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e RBL 工 作 流 程 


口 


口 


口 


口 


口 


口 


外 部 邮件 服务 器 向 内 网 发 送 SMTP 请 来 ， 


USG 收 到 SMIP 请 求 后 ， 提 取 3MIP 和 连接 的 源 IP 地 址 并 将 查询 集合 和 提取 的 源 IP 地 
址 发 送 给 DNS 服 务 器 ; 


DNS 服 务 器 根据 查询 集合 向 RBL 服 务 器 转发 RBL 查 询 请 求 ; 

RBL 服 务 器 以 应 答 码 的 形式 将 查询 结果 返回 给 DNS 服 务 器 ; 

DNS 服 务 器 向 USG 转 发 应 答 码 

USG 根 据 应 答 码 判断 该 93MTP 连 接 的 邮件 是 否 为 垃圾 邮件 ， 并 进行 相应 处 理 。 


如 果 RBI 服 务 器 辐 复 的 应 答 码 和 Us3C 上 配置 的 应 答 码 一 致 ， 该 MTP 邮 件 将 被 视 为 垃圾 
邮件 ; 如 果 RBL 服 务 器 回复 的 应 答 码 和 UsC 上 配置 的 应 答 码 不 一 致 ， 该 MTP 邮 件 将 被 放行 


RBL 过 滤 的 列表 


本 地 日 名 单 
本 地 黑 名 单 
远程 实时 黑 名 单 


二 
”4 | 


/ 
| 
\ 

\ 
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。 本 地 日 名 单 


当 攻 个 邮件 的 源 地 址 命中 了 本 地 日 名 单 ， 那 么 本 地 黑 名 单 和 远程 黑 名 单 不 再 对 此 源 IP 
地 址 进行 匹配 ， 该 邮件 被 直接 转发 。 白 名 单 的 设置 有 利于 提高 匹配 效率 。 


。 本 地 黑 名 单 


本 地 黑 名 单 的 优先 级 比 远 程 黑 名 音 高 ， 当 菏 个 邮件 的 源 地 址 命中 了 本 地 黑 名 单 ， 那 么 
远程 黑 名 单 不 再 对 此 源 IP 地 址 进行 匹配 ， 该 邮件 直接 阻 断 。 


RBL 过 滤 依 赖 于 远程 黑 名 单 的 完整 性 ， 当 远程 黑 名 单 不 包 仿 3SMTP 请 求 的 源 IP 地 址 时 ， 
无 法 过 滤 该 邮件 。 此 时 >、 可 以 通过 补充 本 地 RBL 黑 名 单 来 完成 过 滤 。 


。 远程 实时 黑 名 单 


远程 实时 黑 名 单 是 由 第 三 方 组 织 提供 的 动态 更 新 的 黑 名 单 。 第 三 方 组 织 实时 更 新 和 维 
护 RBL 并 通过 RBL 服 务 器 提供 查询 服务 。 


RBL 过 滤 的 啊 应 方式 


。 告警 (Alert) 


o 正常 转发 邮件 ， 并 发 出 日 志 告 警 信息 。 
。 [了 咀 岂 (Block) 


o 阻 断 邮件 ， 并 发 出 日 志 告 警 信息 。 
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邮件 内 容 过 滤 市 来 的 价值 


邮件 内 容 过 滤 特性 从 邮件 中 提取 邮件 要 素 并 对 其 进行 过 滤 ， 消 除 其 
带 来 的 内 容 安全 威胁 ， 给 用 户 带 来 如 下 价值 : 
。 防 信息 泄露 
。 屏蔽 敏感 信息 和 反动 言论 
。 收发 邮件 权限 控制 
。 防 带 宽 过 度 占用 
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当 内 网 用 户 通过 Webmalil 或 MTP/POP3 客 户 端 收发 电子 邮件 时 ， 邮 件 内 容 过 滤 对 邮 
件 地 址 、 主 题 〈 标 题 ) 、 正 文 、 附 件 大 小 和 数量 、 附 件 名 或 附件 扩展 名 等 进行 监控 ， 防 止 
数据 泄漏 或 敏感 信息 传输 。 

。 邮件 内 容 过 滤 带 来 的 价值 : 


5 防 信息 泄露 ， 通 过 邮件 内 容 过 滤 防 止 内 网 用 户 使 用 ?MTIP 邮 件 或 Webmalil 将 内 网 
机 密 /敏感 信息 泄露 到 外 部 网 络 。 

0 屏蔽 敏感 信息 和 友 副 言论 ， 通 过 邮件 内 容 过 滤 防 止 内 网 用 户 使 用 POP3 从 外 网 接 
受 敏感 信息 或 反动 言论 。 

oO 收发 邮件 权限 控制 》 通过 邮件 地 址 过 滤 控 制 邮 件 使 用 者 的 收发 权限 。 

0 防 市 宽 过 度 旧 用 ， 控 制 附件 大 小 防止 超大 附件 过 度 鼎 用 网 络 市 宽 。 


Webmai 1 邮件 过 滤 


Webmail 邮 件 内 容 过 小 是 指 当 内 网 用 户 通过 电子 邮箱 收发 邮件 时 ， 
对 邮件 地 址 、 主 题 、 正 文 、 附 件 大 小 和 数量 、 附 件 名 或 附件 扩展 名 进 
行 监控 。 

首先 完成 webmail 服 务 器 登录 X 

内 网 用 户 


机 到 图 一 一 一 一 22 一 
wt rrusT 所 Bs A 和 = 


内 网 用 户 发 送 不 符合 配置 要 求 的 邮件 ， 将 被 月 断 。 "过 


Internet 
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Webmoail 是 指 利用 网 络 浏览 器 来 收发 电子 邮件 的 服务 或 技术 。Webmoi 不 需要 供 助 
邮件 客户 端 来 收发 邮件 ， 只 要 能 上 网 、 有 WSbBmail 的 账号 就 能 通过 使 用 网 络 浏览 器 从 邮件 
服务 器 (电子 邮箱 ) 上 收发 邮件 ， 极 大 地 方便 了 用 户 。 


Webmail 根 据 签名 文件 从 http Webmail 流 量 提取 邮件 要 素 ( 包 括 收 件 人 、 发 件 人 、 主 
题 、 正 文 、 dio 附件 文件 类 型 、 附 件 大 小 ) ， 再 根据 邮件 菏 略 中 的 配置 对 提取 到 
的 邮件 要 素 进 行 过 滤 ， 最 终 将 过 滤 绪 果 以 日 志方 式 通过 管理 员 ， 并 阻 断 违规 的 hifp 


ee 


注 : Webmaqail 过 滤 不 支持 内 网 用 户 收 邮件 的 过 滤 。 


SMTP/POP3 邮 件 过 波 


SMTP/POP3 邮 件 内 容 过 滤 是 指 当 内 网 用 户 通 过 邮件 客户 端 收 发 邮 
件 时 ， 对 邮件 地 址 、 标 题 、 正 文 、 附 件 大 小 和 数量 、 附 件 名 或 附件 扩 
展 名 进行 监控 Q 


INternet 


. 本 


起 -TRUST 入 WY nl 
Webmail 服 务 器 


内 网 用 户 发 送 不 符合 配置 要 求 的 邮件 ,jp 将 被 阻 断 。 
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SMTP (Simple Moail Transfer Protocol) 千 要 负责 在 Internet 上 对 电子 邮件 进行 传输 。 
POP3 (Post Office Protocol) 人 允许 客户 端 大 邮件 服务 器 上 取得 邮件 。 


通过 SMTP/POP3 传 输 的 邮件 需要 在 用 户 PC 上 安装 一 个 客户 端 ， 常 见 的 有 Qutlook 和 
Foxmail。 

SMTP/POP3 邮 件 内 容 过 滤 是 指 当 内 网 用 I 收发 邮件 时 ， 对 邮件 地 址 、 
标题 、 正 文 、 附 件 大 小 和 数量 “附件 名 或 附件 扩展 名 进行 监控 

SMTP/POP3 邮 件 过 滤 采 用 全 代理 方式 ， 收 取 并 解析 提取 邮件 的 各 项 要 素 ( 包 括 收 件 人 、 
发 件 人 人、 主题、 正文、 附件 交 件 名 、 附 件 文件 类 型 、 附 件数 目 、 附 件 大 小 ) ， 然 后 根据 邮 
件 策 略 中 的 配置 进行 过 滤 半 最 终 将 过 滤 的 结果 分 别 采 用 日 志和 宣告 的 方式 通知 管理 员 和 邮 
件 使 用 者 。 


rr 前 级 /后 级 /任意 /精确 邮件 地 址 
邮件 主题 
邮件 正文 忌 
附件 名 


附件 扩展 名 
(文件 扩展 名 ) 关 件 扩展 名 


附件 数量 直接 配置 ， 不 引用 公共 模式 组 
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SMTP/POP3 的 邮件 与 附件 作为 一 个 整体 进行 发 送 和 接收 ， 如 果 附件 不 符合 设备 的 策略 
要 求 ， 整 封 邮件 会 被 阻 断 ; 与 了 SMTP/POR3 不 同 ，Webmoail 的 附件 上 传 与 邮件 发 送 是 两 个 
相对 独立 的 操作 ， 对 于 Webmoail 附 件 作 伟 1 了 于 为， 如果 附件 不 符合 设备 的 策略 要 求 ， 会 对 当 
朋 附 件 上 传 行为 进行 阻 断 ， 但 不 影响 符合 策略 要 求 的 邮件 正文 发 这 


@ 目录 


.垃圾 邮件 介绍 

.垃圾 邮件 过 滤 技 术 介 绍 
. RBL 邮 件 过 滤 技 术 
.邮件 内 容 过 滤 技 术 

.垃圾 邮件 过 滤 技 术 应 用 
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WW HuAwel 


配置 自 定义 策 赂 
配置 邮件 过 滤 全 局 参数 (可 选 ) 
(可 选 ) 


应 用 邮件 过 波 
创建 本 地 黑白 名 音 ( 必 和 次 1 
(可 选 ) 
配置 邮件 过 滤 策 略 
必 ; 
配置 预定 义 策略 ( 必 庄 ) 
(可 选 ) 
应 用 邮件 过 滤 策 略 
( 必 选 ) 
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。 配置 地 圾 邮件 过 滤 全 局 参数 


当 需 要 在 邮件 过 滤 策 略 中 引用 垃圾 邮件 过 小 时 需要 配置 ， 内 容 包 括 : ”垃圾 邮件 过 滤 功 
能 全 局 开 天 、 本 地 黑白 名 单 使 能 开关 、 查 询 垃 圾 邮件 服务 器 的 DNS 地 址 。 


。 创建 本 地 黑白 名 单 : 
当 需 要 在 垃圾 邮件 过 滤 中 使 用 本 地 黑 名 单 时 需要 配置 。 
。 配置 预定 义 策略 


如 果 需 要 使 用 系统 预 置 的 ymantec 服 务 器 作为 RBL 服 务 器 进行 RBL 远 程 查询 ， 需 要 配 
置 预定 义 策略 。 


。 配置 目 定 义 策 略 
如 果 需 要 使 用 月 定义 的 服务 器 作为 RBL 服 务 器 进行 RBL 远 程 查询 ， 请 配置 自 定 义 策 略 。 


单 击 


外 置 垃 圾 邮件 过 滤 全 局 参数 


过 滤 第 略 
垃圾 邮件 过 滤 功 能 
白 名 单 
里 名 单 
查询 垃圾 邮件 服务 器 的 DNS 地 址 O) 


局 用 垃圾 邮件 过 滤 功 能 

局 用 日 名 单 

局 用 黑 名 单 

查询 垃圾 邮件 服务 器 的 DNS 地 址 
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Si 


“UTM > 邮件 过 滤 > 垃圾 邮件 过 滤 ”。 
“基本 配置 ”页 签 。 


中 


“垃圾 邮件 过 滤 功 能 ”对 应 的 “局 用 ” 复 选 框 。 


“日 名 单 ” 对 应 的 “局 用 ” 逢 选 恰 。 (可 选 ) 
“ 黑 名 单 ” 对 应 的 “局 用 复 选 框 。 (可 选 ) 


“查询 垃圾 邮件 服务 器 的 BNS 地 址 ”中 输入 用 于 查 
o ”DNS 服务 器 用 来 查找 RBL 服 务 器 ， 只 有 配置 了 用 于 


全 使 用 过 源 第 略 时 ， 限 .个 


Page 32 NO HUAWEI 


询 RBL 的 PN 服务 器 地 址 。 
查询 RBL 的 DNS 服 务 器 后 ， 设 备 


才能 与 RBL 服 务 器 建立 连接 。 可 以 通过 点 击 右边 的 添加 DNs 服 务 器 地 址 。 


“应 用 ” 


在 弹出 的 提示 框 中 单 击 “ 确 定 ”。 


创建 本 地 日 名 单 


白 名 单列 表 


Q@ 壬 是 除 由 刷新 
IP 地 址 撤 码 
192.168.1.0 255.255.255.0 








第 1 由 共 1 内 





新 建 白 名 单列 表 


IP 地 址 恼 码 (©)| 192.168.2.0/24 . 


确定 取消 
。 点 击 新 建 日 名 单 
。 输入 符合 白 名 单列 表 的 IP 地 址 及 掩 码 
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选择 “UTM > 邮件 过 滤 > 垃圾 邮件 过 滤 : 。 
选择 “基本 配置 ”页 签 。 
在 “ 白 名 单列 表 ” 区 域 框 中 ， 单 击 “ 新 建 ”。 
输入 IP 地 址 / 掩 码 。 
D_ IP 地 址 / 掩 码 可 用 以 下 格式 :. 人 P 地 址 / 子 网 掩 码 : 例如 192.168.1.0/24 
D IP 地 址 / 掉 码 长 度 : 例如 J22.168.1.0/24。 
D IP 地 址 \ 反 问 子 网 掩 码 : 例如 192.168.1.0\0.0.0.255。 
o IP 地 址 \ 反 向 掩 码 长 度 : 例如 192.168.1.0\8。 
单 击 “ 确 定 ”& 
重复 执行 卡 述 操作 可 继续 添加 本 地 白 名 单 。 


创建 本 地 黑 名 单 


黑 名 单列 表 
和 咱 除 现 别 新 
由 IP 地 址 











新 建 黑 名 单列 表 


IP 地 址 剧 码 (DB)| 192.168.3..0/24 
® = 


。 凡 击 新 建 黑 名 单 
。 输入 符合 黑 名 单列 表 的 IP 地 址 及 掩 码 
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由 


选择 “UTM > 邮件 过 滤 > 垃圾 邮件 过 滤 : 。 

选择 “基本 配置 ”页 签 。 

在 “ 黑 名 单列 表 ” 区 域 框 中 ， 单 击 “ 新 建 ”。 

输入 IP 地 址 / 掩 码 。1P 地 址 / 掉 码 可 用 以 下 格式 : 
o IP 地 址 / 子 网 掩 码 : 例如 492. 化 8.1.0/255.255.255.0。 
D IP 地 址 / 掉 码 长 度 : 例如 J22.168.1.0/24。 
D IP 地 址 \ 反 问 子 网 掩 码 : 例如 192.168.1.0\0.0.0.255。 
o IP 地 址 \ 反 向 掩 码 长 度 : 例如 192.168.1.0\8。 

单 击 “确定 ”& 

重复 执行 上 述 操作 wy 可 继续 添加 本 地 黑 名 单 。 


六 


配置 预定 义 策略 


‘和 UTM > 邮件 过 小 拉 吉 邮件 过 小 


期 述 状态 
Use the pre-defined RBL server in the System @ 


中 新 尘 只 旺 作 孙 别 新 
名 称 垃 拆 邮件 服务 器 查询 集合 


阻 断 : 阻 断 邮 件 传 输 
告警 : 不 阻 断 邮件 传输 ， 但 是 会 产生 告 
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选择 “UTM > 邮件 过 滤 > 垃圾 邮件 过 

选择 “过 滤 策 略 ”页 釜 。 
单 击 “预定 义 策 略 ” 对 应 的 配置 按钮 。 
配置 相关 参数 : 动作 为 告警 或 阳 电 电 策略 月 用 。 
单 击 “ 应 用 。 


配置 自 定 义 荣 略 


自 定义 策略 列表 


腹 除 俱 剧 新 


坪 圾 邮件 服务 书 查 尊 集 合 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 36 NO HUAVWEI 





选择 “UTM > 邮件 过 滤 > 垃圾 邮件 过 滤 ” 
选择 “过 滤 策 略 ”页 签 。 

单 击 “ 新 建 ”。 

配置 自 定义 策略 的 “名 称 ” 和 “描述 ? 。 
单 击 “ 应 用 ”后 继续 配置 自 定义 策略 参数 。 


卫生 月 正义 宁 有 了 ( 续 ) 


名 称 


损 术 针对 敏感 财务 数据 邮件 过 滤 


© 


应 管 码 列表 


Ew oe oo 


。 垃圾 邮件 服务 器 查询 集合 :_RBL 请 求 的 查询 集合 用 来 定位 RBL 服 务 器 。 
。 应 答 码 : 设备 将 匹配 到 应 答 码 的 邮件 作为 垃圾 邮件 进 衍 过 滤 。 
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。 配置 垃圾 邮件 服务 器 查询 集合 。 


0 RBL 请 水 的 查 Wl 用 来 定位 RB 恒 R 务 器 。 查 询 集合 由 RBL 服 务 提 供 商 提 供 。 


策略 只 能 配置 一 个 查询 集合 。 例 如 Nrbl.anti-mail.com.cn。 
配置 邮件 匹配 策略 后 设备 采取 的 动作 。 
配置 应 答 码 列表 ， 单 击 “ 新 建 ”。 
配置 垃圾 邮件 应 答 码 
oO 任意 应 答 码 : 选中 表示 对 任意 应 答 码 都 进行 匹配 。 


0 应 答 码 : 设备 将 匹配 到 应 答 码 的 邮件 作为 垃圾 邮件 进行 过 滤 。 如 果 RBL 服 务 
回复 应 答 码 或 回复 的 应 答 码 与 设备 侧 配置 的 应 答 码 不 一 es 放行 邮件 。 


0 ”应答 码 会 因为 RBL 服 务 提供 商 的 不 同 而 不 一 样 ， 具 体 请 咨询 RBL 服 务 提供 商 。 


注意 : / 应答 码 ” 与 “任意 应 答 码 ” 互 斥 ， 只 能 配置 其 中 一 个 。 
。 单 击 /确定 ~。 
。 单 击 尺 应 用 ”。 
。// 住 弹出 的 提示 框 中 单 击 “确定 ”。 





语 个 


外 和 置 邮件 过 滤 案 上 略 


邮件 过 滤 策 略 列表 


ET 
Oi 
mytest 


第 1 


。 配置 邮件 过 滤 策 略 
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选择 “UTM > 邮件 过 滤 > 策略 ”。 

选中 “邮件 过 滤 ” 对 应 的 “局 用 ” 复 选 框 。 
单 击 “应 用 ”。 

在 弹出 的 提示 框 中 单 击 “确认 ”6& 

选择 “UTM > 邮件 过 滤 > 策略 ”。 

单 击 “ 新 建 ”。 

配置 邮件 过 滤 策 略 的 “名 积 ”和 “ 摘 述 ”。 
单 击 “ 应 用 ”， 继 续 邮 件 过 滤 策 略 配 置 。 


di 滤 荣 略 〈 续 ) 


接收 匿名 邮件 


控制 方 向 ”控制 选项 。 邮件 地 址 组 处 理 动作 ”配置 X 
发 送 邮 件 发 件 人 地 址 

g 件 人 地 址 
接收 邮件 ”发 件 人 地 址 

k 件 人 地 址 


过 滤 选 项 告警 处 理 对 象 组 阻 断 处 理 对 象 组 
发 邮件 关键 字 

收 邮件 关键 字 

发 邮件 附件 类 型 

收 邮 件 附件 类 型 


附件 大 小 及 个 数控 制 ©) 
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选中 “垃圾 邮件 过 滤 ” 前 的 复 选 框 ， 启 用 RBLE 过 站 。 此 功能 需要 用 户 购买 的 License 中 
文 持 RBL 过 寸 滤 。 


在 “发 送 匿 名 邮件 ”和 “接收 匿名 邮件 ”中 选择 过 滤 动 作 。 


配置 邮件 地 址 ( 收 件 人 、 发 件 人 )= 过 滤 ， 单 击 “ 发 送 邮 件 ” 或 “接收 邮件 ”中 收发 件 人 
对 应 的 国 。 


配置 邮件 主题 、 正 文 过 滤 和 附件 类 型 过 滤 ， 单 击 “ 发 邮件 关键 字 ”、“ 收 邮件 关键 字 ” 
“发 邮件 附件 类 型 ”或 者 关 收 邮件 附件 类 型 ”对 应 的 国 。 


配置 附件 个 数 和 附件 大 小 过 滤 。 
单 击 “ 应 用 ”, 完成 邮件 过 滤 策 略 配 置 。 


外 和 置 邮件 地 址 ( 收 件 人 、 发 件 人 ) 过 渡 


邮件 地 址 配 秆 


处 理 动作 OL 允许 1 邮件 地 址 不 在 允 主 范围 之 内 的 邮件 将 被 禁止 ) 
®) 阻 断 邮件 地 址 在 阻 断 范围 之 内 的 将 被 阻 断 ， 其 他 邮件 允许 通过 ) 


新 建 邮件 地 址 组 


| 邮件 地 址 列表 


G) 用 恺 别 新 





Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 40 NO HUAWVEI 


。 选择 处 理 动作 。 


D 选择 “人 允许 ”， 邮 件 地 址 匹配 “ 妃 选 ”区 域 框 的 对 象 组 时 ， 设 备 放行 该 邮件 ， 并 
阻 断 未 匹配 对 象 组 的 邮件 。 


oO 选择 “ 阻 断 ”， 邮 件 地 址 匹配 “已 选 ” 区 域 框 的 对 象 组 时 ， 设 备 阻 断 该 邮件 ， 并 
放行 未 匹配 对 象 组 的 邮件 。 


。 在 “可 选 ” 区 域 框 中 选择 要 引用 的 对 象 组 ， 单 击 ”， 将 对 象 组 移 到 “已 选 ” 区 域 框 中 。 
如 果 没 有 已 有 地 址 组 ,，* 可 以 直接 点 击 已 选 框 中 的 < 新建 ”， 建立 邮件 地 址 组 。 


口 四 置 A sd 
OD 在 邮件 地 址 列 污 中 i 选择 “新 建 ” 


0 在 新 建 Emaqil 地 址 中 选择 “匹配 方式 ”， 匹 配方 式 有 : 前缀、 后缀、 精确、 天 键 
Se 


0 在 新建 EMail 地 址 内 容 中 输入 相应 参数 
of 单 击 两 次 “确定 ”完成 地 址 组 配置 
。 单 击 “人 确定 ”， 完 成 邮件 地 址 过 滤 配 置 。 


外 置 邮件 主题 、 正 文 过 滤 和 附件 类 型 过 渡 


邮件 关键 字 想 秆 


(FF na] 


对 象 组 名 称 
全 部 关键 字 组 
search 


download 


导 个 天 键 子 的 长 度 为 2~T27 个 子 付 ， 行 站 号 条 尾 处 的 空白 字符 ， 如 空格 则 制 表 符 等 不 计 长 度 ; 
回 车 开始 输入 新 的 关键 字 ， 例 各 : 
成 人 


G) 1 矿 
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。 在 出 现 的 对 象 组 列表 中 选择 处 理 动作 。 处 理 动作 包括 : 不 处 理 、 告 警 、 阻 断 


。 如 果 没 有 已 有 对 象 组 或 对 象 组 不 满足 邮件 过 滤 条 件 ， 可 以 直接 点 击 邮件 天 键 子 配置 中 的 
新建”， 建 立新 关键 字 组 。 


oO 单 击 “新 建 ” 
0 在 新 建 天 键 子 组 中 ， 输 入 名 称 
0 在 关键 子 中 输入 需要 邮件 过 滤 的 天 键 子 
oO 单 击 “确定 
。 单 击 “ 确 定 ”， 完 成 邮件 主题 、 正 文 、 附 件 过 滤 配 置 。 


外 和 转 附件 个 数 和 附件 大 小 过 滤 


图 附件 大 小 及 个 数控 制 


V| 发 送 附件 个 数 上 限 <0-10> 图 


V 接收 附件 个 数 上 限 <0-10> 国 


V| 发 送 附 件 大 小 限制 |， 102400 1 <1-102400> (单位 : 


V 接收 附件 大 小 限制 ”102400 <1-102400> (单位 : 


KB) 


处 理 动作 


处 理 动作 


处 理 动作 


处 理 动作 
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。 人 义 选 “发 送 附 件 个 数 上 限 ”、“ 接 收 附件 个 数 壬 限 ”、 


附件 大 小 限制 ”， 输 入 数值 。 
。 在 “处 理 动作 ”中 选择 处 理 动作 。 





WW HuAwel 


“发 过 附件 大 小 限制 ”或 


“接收 


应 用 邮件 过 滤 东 略 


转发 策略 列表 


中 新 建 陀 昨 除 巷 刷 新 | anyzone ->| anyzone | 息 坦 询 高 级 查 筒 


目的 地 址 用 户 服务 时 间 段 


< untrust->trust 


FF IPS 
FF AV 
厂 Web 过 潜 


邮件 过 滤 第 略 
三 FTP 过 滤 


厂 应 用 控制 


记录 日 志 
开启 策略 会 话 沪 鲁 统计 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 43 WD HUAVWEI 





选择 “防火 墙 > 安全 策略 > 转发 策略 。 

人 在 “转发 策略 列表 ”中 ， 单 击 “ 新 建 ”% 

人 在“ 新建 转发 策略 ”区 域 ， 依 次 输入 或 选择 各 项 参数 。 

选中 “邮件 过 滤 ” 复 选 框 ， 选 择 前 面 配 置 的 相应 邮件 过 滤 策 略 。 
单 击 “ 应 用 ”，, 完成 邮件 过 滤 策 略 应 用 的 配置 。 


总 结 


。 垃圾 邮件 的 基本 概念 ; 

。 垃圾 邮件 的 产生 及 危害; 
。 垃圾 邮件 过 滤 技 术 原 理 ; 
。 垃圾 邮件 过 滤 技 术 应 用 。 
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单 选 题 
1. 下 列 反 垃圾 邮件 技术 中 ， 属 于 采用 统计 方法 的 是 ? 
人 A、 贝 叶 斯 ” B、 衣 态 黑 名 单 C、RBL ”D、 内 容 过 滤 K 
。 判断 是 
1. USG 根 据 应 答 码 判断 该 SMTP 连 接 的 邮件 是 否 为 垃圾 邮件 ,人 并进 行 相 
应 处 理 。 如 果 RBI 服 务 器 回复 的 应 答 码 和 USG 上 配置 的 应 答 码 不 一 致 


， 该 SMTP 邮 件 将 被 视 为 垃圾 邮件 。 如 果 RBL 服 务 器 回复 的 应 答 码 和 
USG 上 配置 的 应 答 码 一 致 ， 该 SMTP 邮 件 将 被 放行 
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习题 与 答案 : 
1、 下 列 反 垃圾 邮件 技术 中 ， 属 于 采用 统 评 方法 的 是 ? 
A、 贝 叶 斯 

B、 静 态 黑 名 单 


2、U3C 根 据 应 答 码 判断 该 JMIP 连 接 的 邮件 是 否 为 垃圾 邮件 ， 并 进行 相应 处 理 。 如 果 
RBI 服 务 器 同 复 的 应 答 码 和 US3C 上 配置 的 应 答 码 不 一 致 ， 该 MTP 邮 件 将 被 视 为 垃圾 
邮件 。 如 果 RBE 服 务 器 回复 的 应 答 码 和 USG 上 配置 的 应 答 码 一 致 ， 该 SMTP 邮 件 将 








目标 


。 学 完 本 课程 后 ， 您 将 能 够 : 
了 解 9A (Service Awareness) 产生 背景 ; 
芝 握 应 用 控制 各 种 技术 工作 原理 
营 握 应 用 控制 技术 的 应 用 。 
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@ 目录 


1. SA (Service Awareness) 产生 背景 


2， 应 用 控制 扩 术 介绍 
3， 应 用 控制 技术 的 应 用 
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互联 网 现状 及 发 展 趋势 


。 网 络 用 户 规模 呈 几 何 级 数 增长 
。 网 络 应 用 种 类 日 丛 扩 展 
。 网 络 市 宽 需 求 不 断 扩 大 


mp 


[ 
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Internet 发 展 的 几 十 年 来 ， 网 络 用 户 数 、 网 络 应 用 种 类 、 网 络 带 宽 都 呈现 出 爆炸 式 的 
增长 ， 对 社会 和 人 们 的 生活 产生 了 巨大 的 影响 % 网 络 的 功能 ， 从 最 初 的 互 连 互通 为 主 ， 到 
后 来 的 以 Emqil、WWW 浏 览 、FTP 下 载 等 信和 六 共享 为 主 ， 到 今天 的 P2P、 VolP、IM、 游 戏 、 
网 络 媒 体 等 丰富 多 彩 的 应 用 为 主 。 


今天 ， 网 络 已 经 成 为 社会 生活 的 仿 外 重要 组 成 部 分 。 在 此 过 程 中 ， 出 现 了 P2P、VolP 
等 业务 ， 这 些 应 用 给 客户 带 来 丰富 的 豆 联 网 体验 的 同时 ， 也 给 网 络 的 运营 者 、 管 理 者 带 来 
了 巨大 的 影响 ， 同 时 也 不 可 各 免 地 验 网 络 的 监管 和 网 络 技术 提供 者 、 设 备 制造 商 提出 了 新 
的 挑战 。 


应 用 对 运营 商 的 挑战 


设备 的 不 断 升级 ， 依 然 无 法 跟 上 网 络 应 用 “多 样 化 ” 带 来 的 融 





P2P、VolP、 共 享 接 入 等 已 经 给 网 络 运营 带 来 极 大 的 影响 ! 
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以 2004 年 11 月 TOM 一 Skype 在 中 国 市 场 的 推 出 为 标志 ， 高 质量 的 网 络 电话 开始 盛行 
， 其 致命 的 杀手 铀 一 一 免费 性 已 经 对 传统 电 术 运 彰 商 的 语音 业务 造成 了 巨大 的 种 击 。“ 电 
脑 一 电话 ”PC to Phone〉 和 “电话 一 电话 ”Phone to Phone) 等 网 络 电话 服务 一 旦 
实现 ， 将 彻底 车 攻 传 统 电话 业务 的 市 场 格局 ， 面 对 网 络 电话 吊 员 逼 人 的 发 展 态势 ， 传 统 电 
信 运 营 商 必须 要 适应 和 改变 。 











运营 商 面临 的 威胁 


。 无 监管 的 VolP 业 务 、 无 限制 的 P2P 业 务 、 不 受 控 的 宽带 私 接 已 经 严 
重 威胁 运营 商业 务 的 正常 运行 。 
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无 监管 的 VolP 业 务 、 无 限制 的 P2P 业 务 以 及 不 受 控 的 宽带 私 接 对 当前 运营 商 带 来 的 不 
仅 是 基本 电信 业务 收入 、 带 宽 利用 等 威胁 。 同时 随 着 高 强度 加 密 技术 、P2P 技术 和 IM 技术 
的 结合 ， 给 最 终 用 户 、 本 生生 入 生生 师 


虫 病毒 以 及 SPAM 等 )， 高 了 安全 管理 的 技术 难度 和 成 本 。 Wate 
互联 网 业务 eter ena 每 步 走向 基于 IP 承 载 网 络 的 网 络 融合 务 融 合 
和 应 用 融合 。 


。 从 不 同 应 用 角色 看 ， 政 府 人 《运营 商 、 企 业 以 及 家 庭 用 户 对 网 络 的 业务 控制 能 力 提出 了 
各 目的 要 求 : 


0 从 监管 者 角度 来 说 ， 要 求 网 络 具 备 不 民 信 息 的 识别 和 控制 的 能 力 ， 尤 其 是 对 反动 、 
色情 、 赌 博 、 暴 力 等 不 民 信 息 的 过 滤 ; 

0 从 运 莒 商 角 度 来 说 ， 要 求 网 络 能 够 对 各 类 业务 ee ， 匹 其 
是 保障 电信 级 业务 的 服务 质量 ， 如 软 交 换 电 话 、3G 语 音 以 及 大 客户 业务 等 ; 

0 从 企业 角度 来 说 ， 要 求 网 络 具备 识别 特定 业务 信息 ， 并 按照 企业 利益 对 信息 进行 
处 理 的 能 力 ， 整 合 复杂 的 1 防范 设备 ， 使 得 企业 专注 于 核心 业务 


0 从 家 庭 用 户 来 说 ， 结 合 健康 上 网 的 需求 ， 要 求 网 络 具备 个 性 化 业务 控制 功能 ， 无 
a ee IP 业 务 识别 与 控制 的 研究 目的 就 
参考 现 有 各 标准 化 组 织 的 研究 成 果 ， 融 合 现 有 的 各 种 产品 和 解决 方案 ， 提 出 通 

用 的 业务 识别 与 控制 来 构 。 


新 应 用 对 企业 网 的 挑战 


。 企业 管理 的 困惑 
公司 业务 的 开展 无 法 得 到 足够 的 市 宽 保障 ; 
员工 在 工作 时 间 内 的 在 线 视 频 、 聊 天 等 行为 ， 降 低 企业 工作 效率 ， 并 带 
来 安全 上 的 隐患 。 X 


P2P、 不 可 控 的 上 网 行为 等 已 经 给 企业 网 络 市 来 极 大 的 影响 ! 





Copyright © 2013 Huawei Technologies Co., Ltd. All rights reserved; Page7 ID HUAWEI 


不 能 对 企业 内 部 网 络 流量 识别 就 不 能 这 些 流量 进行 有 效 控 制 ， 也 就 不 能 对 公司 员工 4 
为 进行 监控 。 


二 


企业 网 面临 的 威胁 


。 网 络 安全 

o ”访问 非法 网 站 ， 木 马 、 蠕 虫 、 病 毒 
在 企业 网 中 肆意 传播 ， 竞 争 对 手 的 
恶意 攻击 ， 导 致 网 络 中 断 、 业 务 严 
重 受 阻 ; 

信息 安全 

o 不 受 控 邮件 发 送 、 即 时 聊天 ， 竞 争 
对 手 的 恶意 入 侵 ， 导 致 商业 机 密 外 
泄 ， 企 业 发 展 承 受 严重 威胁 ; 

运营 成 本 

o 不 受 控 网 络 访问 ， 网 络 游戏 、P2P 
网 络 媒体 、BT/Emule 下 载 ， 导 臻 
网 络 带宽 浪费 、 项 目 周期 延长 ， 变 
相 增 加 企业 运营 成 本 。 
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互联 网 已 经 成 为 人 类 社会 发 展 的 一 块 基石 ， 企 业 越 来 越 依 赖 于 互联 网 ， 企 业 在 使 用 互 
联网 的 同时 也 承担 看 一 定 的 风险 : 


。 企业 及 分 文 机 构 间 的 通信 存在 安全 隐患 ， 机 密 信息 可 能 被 恶意 截获 ; 
。 DDoos、 黑 客 入 侵 、 木 马 、 肾 虫 .= 病毒 等 攻击 手段 的 严重 威胁 企业 业务 运 


。 P2P 下 载 、IM 通 信 、 浏 览 不 尽 网 站 等 网 络 滥用 给 企业 带 来 了 法 律 风 险 和 安全 隐患 ， 影 有 
了 运营 效率 。 


@ 目录 


.应 用 控制 技术 产生 背景 
.应 用 控制 技术 介绍 
2.1 传统 业务 识别 技术 介绍 
2.2 SA 识别 技术 介绍 
3.， 应 用 控制 技术 应 用 
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传统 业务 识 列 技术 


早期 网 络 的 业务 流量 分 析 ， 主 要 从 物理 端口 、IP 层 和 TCP/UDP 层 了 
解 流 量 的 状态 。 

a bee eal 
网 络 技 术 的 发 展 ， 端 口 检测 技术 适用 的 范围 越 来 越 小 。 


DNS 协 议 采 用 323 端口 ， 
BGP 协 议 采用 17? 端 口 ，; 
RPC 远 程 过 程 调 用 采用 135 号 端口 ， 


page 10 WW HUAWEI 
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县.: 癌 品 


传统 业务 流量 识别 可 以 从 流量 物理 接口 ， 以 必 IP、TCP 等 包头 信息 进行 流量 识别 ， 从 
而 对 特定 数据 流 进行 控制 ， 但 是 对 于 新 出 现 的 业务 流量 则 不 能 有 效 识别 ， 进 而 不 能 有 效 控 


制 这 些 流量 。 


传统 方法 无 法 满 正 现 网 帝 量 分 析 


基于 物理 端口 、IP 层 和 TCP/UDP 层 了 解 流量 状态 
基于 TCP/UDP 的 端口 识别 应 用 协议 
基于 IP 的 流量 统计 


以 五 元 组 的 形式 提供 数据 流 的 信息 ， 用 于 分 析 几 广 的 行为 


典型 : Netflow、NetStream 等 技术 
无 法 分 辨 


传统 方法 无 法 准确 识别 出 网 络 流量 中 的 应 用 协议 类 型 
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。 传统 分 析 方 法 的 不 足 : 
oO 基于 端口 的 检测 一 般 效率 较 高 ， 得 无 法 处 理 端口 误 用 及 重用 的 情况 ， 易 产生 误 报 
和 漏 报 ， 有 相当 大 的 局 限 性 ; 


0 基于 流 的 分 析 和 处 理 ， 已 经 比 最 蕊 简单 基于 IP 的 流量 统计 更 进 了 一 步 ， 朝 着 天 注 
用 户 或 用 户 群 行为 的 方 同 发 展 ， 但 还 不 能 分 辨 出 这 些 流 量 中 的 各 种 业务 。 


SA (Service Awareness) 技术 


网 络 流量 


\4 


流量 业务 收入 


。 准确 感知 流量 中 的 应 用 ， 是 保证 网 络 可 用 性 .可 测量 性 和 可 管理 性 的 必 备 
技术 手段 ! 
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SA (Service Awareness) 提供 对 TCP/UDP 传 输 层 以 上 具体 应 用 协议 的 识别 功能 ， 基 于 该 功能 
，USG 支 持 对 网 络 流量 按 协议 进行 细 分 统计 ,对 某 些 具体 协议 流量 进行 流量 阻 断 或 放行 。 


应 用 控制 的 5 个 重要 应 用 领域 : 
0 ”网络 智能 化 管理 ; 

0 P2P 有 效 控 制 ; 

0 ”QOS 服务 质 量 优化 ; 

0 保证 网 络 安全 ; 

0 分 层 服务 、 管 理 及 计 费 。 


@ 目录 


1， 应 用 控制 技术 产生 背景 
2. 应 用 控制 技术 介绍 
2.1 传统 业务 识别 技术 介绍 
2.2 SA 识别 技术 介绍 
3. 应 用 控制 技术 应 用 
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业务 感知 扩 木 介绍 


。 定义 


o 通过 对 报 文 的 应 用 层 数据 进行 内 容 检 测 ， 分 析 报 文 或 流 在 IF 和 UDF/TCP 
层 以 上 及 各 种 隧道 内 部 的 应 用 类 型 。 


有 P 堵 据 关 XX 
CREATE 
| Bo 人 


Si mp 


应 用 层 感 知 
Ee SA (Service Awareness) [ 





/ | 
| 
I 
1 


/ 
/ 
有 ADSL 用 户 
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应 用 控制 是 一 种 通过 SA 技术 对 网 络 中 的 报 文 进 每 识别 控制 的 应 用 功能 。SA 即 业务 感知 ， 通 过 
对 报 文 的 应 用 层 数据 进行 内 容 检测 ， 分 析 报 文 或 效 据 流 在 IP 和 TCP/UDP 层 以 上 的 应 用 业务 类 型 ， 从 
而 进行 流量 识别 和 流量 管理 以 及 其 他 增值 服务 。 

>A 的 价值 : 


D 流量 识别 ; 








~ 和 人 
0 流量 管理 ; 


量 
a 内 容 计 费 ; 


业务 感知 技术 分 类 


| 关联 识别 | 


| 全 包 检 测 | 
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很 多 情况 下 ， 对 业务 的 识别 是 综合 运用 多 种 技术 4 才能 达到 很 好 的 效果 。S 人 主要 有 特征 检测 、 
关联 识别 和 全 包 检 测 。 


。 特征 识别 : 新 兴 的 P2P 应 用 、VYolF 应 用 ，、 在 专 个 常用 端口 范围 之 外 ， 也 可 以 随机 选取 任意 端口 进 
行 通信 。 因 此 ， 要 识别 这 些 协 议 ， 无 法 单纯 依赖 端口 检测 ， 而 必须 在 应 用 层 对 这 些 协 议 的 特征 
进行 识别 ， 应 用 层 特征 识别 ， 大 致 分 为 两 种 : 


0 一 种 是 已 知 协议 的 识别 ， 例 如 EFP、HTTP、DNS、SMTP 等 ， 有 标准 的 协议 ， 并 规定 了 特有 
的 消息 和 命令 字 以 及 状态 迁移 机 制 ， 通 过 分 析 应 用 层 内 的 这 些 专 有 字段 和 状态 ， 就 可 以 精 
确 可 靠 地 识别 这 些 协议 < 


0 ” 另 一 种 是 未 公开 协议 的 识 列 ， 例 如 当前 多 数 的 P2P 协 议 、IM、VolP 协 议 。 出 于 多 方面 的 考 
虑 ， 并 不 公开 其 协议 细节 ， 这 时 一 般 需 要 通过 逆向 工程 分 析 协 议 机 制 ， 通 过 报 文 流 的 特征 
字段 来 识别 该 通信 流量 。 这 类 方法 工作 量 大 ， 而 且 协 议 的 变化 快 ， 要 保持 各 种 协议 变化 的 
及 时 跟踪 A 必须 有 大 量 的 人 力 投 入 和 不 断 的 技术 跟踪 才能 保证 检 测 的 高 效 性 ， 因 此 要 有 和 较 
强大 的 研发 队伍 作 后 盾 。 


。 关联 识别 作 些 数据 流 ， 控 制 通道 和 数据 通过 是 分 开 的 《如 FTP、SIP、H.323 等 ) ， 一 般 的 处 
理 方式 是 对 这 些 会 话 分别 进 行 识 列 ， 这 可 能 导致 分 析 速 度 较 慢 或 影响 对 数据 通过 的 识别 。 关 联 
协议 误 别 ， 是 将 来 自 同 一 源 地 址 的 控制 通道 和 后 续 的 数据 通道 进行 天 联 的 拉 术 ， 从 而 达到 快速 
识 列 的 目的 。 

。 /全 包 检 疯 : 茶 些 协议 的 报 文 是 承载 在 其 他 协议 上 进行 传输 的 ， 如 MSN 信息 可 能 通过 HTTP 协 议 承 
载 、VolP 信 息 可 能 通过 IM 类 型 协议 承载 。 全 包 检 测 即 对 这 种 类 型 的 报 文 的 所 有 字 节 进行 检测 ， 
以 提高 对 协议 的 识别 准确 率 。USG 支 持 对 指定 的 协议 局 用 全 包 检 测 功 能 。 











SA 业务 商 别 技术 


。 加 密 协议 识别 能 力 
o 能 够 准确 的 识别 出 BT 加 密 、Vagaa 加 密 、PPLive 加 密 、 迅 雷 加 密 、 
Skype 等 数 十 种 加 密 应 用 ， 对 常见 的 加 密 P2P 应 用 和 加 密 VOIP 应 用 了 牙 以 
准确 的 识别 和 阻 断 。 
。 业务 细 分 能 力 
o 随 着 越 来 越 多 的 软件 将 多 种 业务 融合 到 一 起 ， 对 同一 应 用 软件 惠 的 多 种 
业务 进行 区 分 和 控制 。 
。 准确 高 效 的 行为 识别 能 力 
o 高 效 的 行为 识别 模型 ， 能 够 在 应 用 的 模式 特征 发 生变 化 之 后 依然 进行 准 
确 的 识别 ， 该 模型 在 识别 和 控制 新 出 现 的 、 未 知 的 P2P 应 用 方面 效果 显 


十 全 


省。 
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。 加 密 协议 识别 能 力 : 众所周知 ， 当 前 许多 应 用 关 了 逃避 检查 和 控制 ， 都 对 传输 的 数据 进 
行 了 加 密 ，SA 在 检测 加 密 应 用 方面 ， 经 过 多 年 的 技术 积累 ， 总 结 出 了 一 套 特征 、 行 为 
加 统计 的 综合 检测 模型 ， 能 够 准确 的 识别 出 BT 加 窗 、Vagaa 加 密 、PPLive 加 密 、 迅 雷 
加 密 、Skype 等 数 十 种 加 密 应 用 ， 对 常见 的 加 密 P2P 应 用 和 加 密 VOIP 应 用 可 以 准确 的 识 
别 和 阻 断 。 


。 业务 细 分 能 力 : 随 着 越 来 越 多 的 软件 将 多 种 业务 融合 到 一 起 ， 对 同一 应 用 软件 下 的 多 种 
业务 进行 细 分 并 分 别 控制 就 显得 越 来 越 有 必要 了 ， 例 如 ，QGQ 融 合 了 文子 聊天、 文件 传 
输 、 语 首 、 视 频 、 游 戏 等 多 种 业务 功能 。 我 们 的 3 人 A 在 软件 业务 细 分 方面 走 在 了 行业 的 
表 列 ， 几 乎 所 有 的 应 用 软件 ， 都 可 以 按照 其 业务 类 型 的 不 同 ， 分 别 进行 区 分 和 探 制 。 


。 准确 高 效 的 行为 识别 能 力 : 为 了 应 对 层出不穷 的 新 应 用 ， 以 及 现 有 软件 的 频繁 升级 ， 
3 人 A 采用 了 一 套 高 效 的 行为 识别 模型 ， 并 已 获得 多 项 专利 ， 该 行为 识别 模型 有 很 好 的 性 
能 和 准确 性 ， 另 外 还 有 很 好 的 适应 性 ， 能 够 在 应 用 的 模式 特征 发 生变 化 之 后 依然 进行 准 
确 的 识别 f 该 模型 任 识 别 和 控制 新 出 现 的 、 未 知 的 P2P 应 用 方面 效果 显 营 。 


SA 业务 流程 


。 流量 解析 引擎 员 责 加 载 协 议 特征 知识 库 ， 对 输入 的 Z 层 数据 进行 识 
别 ， 输 出 识别 出 的 各 关 协 议 或 应 用 的 类型 。 


知识 库 升 级 服务 


知识 库 升 级 系统 


知识 库 当 理 
网 络 数据 
流 预 处 理 





人 攻 些 数据 流 ， 控 制 通道 和 数据 通过 是 分 开 的 〈“ 旭 FTP、SIP、H.323 等 ) ， 一 般 的 处 理 方 式 是 对 
这 些 会 话 分别 进 行 识别 ， 这 可 能 导致 分 析 速 度 较 慢 或 影响 对 数据 通道 的 识别 。 关 联 协议 识别 ， 和 是 将 
来 目 同一 源 地址 的 控制 通道 和 后 续 的 数据 通 庆 进行 关联 的 技术 ， 从 而 达到 快速 识别 的 目的 

关联 协议 识别 可 以 将 同一 应 用 协议 的 控制 通道 法 和 数据 通道 流 关 联 起 来 。 通 过 对 控制 通道 流 的 
分 析 ， 可 以 分 析出 通讯 双方 将 要 在 哪 介 通道 福建 立 何 种 类 型 的 数据 流 ， 并 在 协议 识别 时 将 控制 通道 
流 和 该 控制 通 直 流 协商 出 来 的 数据 通道 流 头 联 起 来 。USG 在 对 控制 通道 流 进 行 深度 解析 时 ， 提 取出 
其 中 协 丙 的 数据 通道 流 的 源 三 元 组 和 四 有 的 三 元 组 信息 ， 并 加 入 关联 表 。 在 后 续 识 别 过 程 中 ， 可 以 通 
过 该 关联 表 项 对 数据 通道 流 快 速 误 列 6 

一 般 情 况 下 ，USG 对 报 文 的 特定 字 节 进行 协议 特征 检测 ， 对 于 多 数 已 知 协议 可 以 做 到 成 功 检测 
。 东 些 协 议 的 报 文 是 承载 在 其 他 协议 上 进行 传输 的 ， 如 MSN 信 息 可 能 通过 HTTP 协 议 承 载 、VolP 信 
奶 可 能 通过 IM 关 型 协议 承载 。 全 包 检 测 即 对 这 种 类 型 的 报 文 的 所 有 字 布 进行 检 吝 ， 以 提高 对 协议 的 
识别 准确 率 。USG 文 持 对 指定 的 协议 司 用 全 包 检 测 功能 。 


























流量 解析 引擎 


特征 识别 


关联 识别 


全 包 检 疯 


通过 模式 匹配 算法 ， 根 据 已 知 协议 的 内 容 特征 ， 对 网 
络 报 文 的 应 用 层 内 容 进行 匹配 检索 
单 包 匹配 、 多 包 匹 配 、 多 流 匹 配 





| 











ng 


多 个 通道 流量 进行 协同 检测 
对 于 茶 些 业务 类 型 已 经 判定 的 流量 ， 可 以 通过 三 元 组 
对 与 同一 主机 端口 进行 通讯 的 不 同 流量 进行 关联 判断 





MsN 信 息 可 能 通过 HTTF 协 以 承载 ANVo 民 信息 可 能 通 
过 IM 类 型 协议 承载 。 全 包 检 测 即 对 这 种 类 型 的 报 文 的 
所 有 字 节 进行 检测 ， 进 行 识别 处 理 
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@ 目录 


. SA (Service Awareness ) 
应 用 控制 技术 介绍 
应 用 控制 技术 的 应 用 

3.1 SA 应 用 识别 配置 

3.2 FTP 过 滤 
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应 用 场 时 


。 流量 限制 
5 连接 数 限制 :对 指定 用 户 ，IP 地 址 或 者 网 络 发 起 的 连接 数量 或 接收 的 连 
接 数量 进行 限制 。 
= 带宽 限制 : 对 指定 用 户 ，IP 地 址 或 者 网 络 的 带宽 进行 限制 。 XX 
。 流量 阻 断 


o 是 对 数据 流 中 的 应 用 层 数 据 进行 内 容 检测 的 搁 术 。 在 匹配 成 功 后 ; 根据 
应 用 的 需求 ， 可 以 对 识别 的 网 络 流量 进行 允许 通过 、 阻 断 的 控制 动作 。 
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可 以 通过 应 用 控制 从 调 识 列 特 定 应 用 数据 谊 ss 然后 使 用 流量 限制 对 这 些 应 用 数据 流 进 
行 限 速 和 限 连 接 数 。 


流量 限制 包 置 思路 


用 限 流 策略 规则 
匹配 源 目的 流量 或 用 户 
应 用 限 流 策略 策略 进行 流量 


限制 
5 针对 特定 应 用 限 流 时 需 开 局 
应 用 控制 功能 


: 
中 用 限 流 策 略 2 


配置 限 流 Class | 
”应 用 最 大 连接 数 限制 
”应 用 带宽 限制 


下 三 @- 
WW HUAWEI 
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WW HuAwel 





局 用 限 流 菏 上 略 
进入 基本 配置 界面 启用 限 流 : 


”防火墙 限 流 第 略 、 基本 配置 





WW Huawel 


执行 命令 system-view， 进 入 系统 视图 。 


执行 命令 traffic-policy enable; 启用 限 流 策略 功能 。 





配置 限 流 Class 


和 拍 盾 假 沪 每 IP 限 流 Class 
新 建 每 iP 限 流 Class 
人 名称 
保证 带 离 
最 大 带宽 


最 大 连接 教 


整体 限 流 整体 限 流 Class 


重建 整体 限 流 Class 


名 种 
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命令 行 配置 : 


执行 命令 car-class car-class-name type per-ip [ vpn-instance vpn-instance 
name ]， 进 入 每 IP cqar-class 视 图 。 


执行 命令 car-class carzGlass-hame type shared [ vpn-instance vpn- 


instance name |]， 进 入 整体 Car-class 视 图 。 


执行 命令 car { max maxvalue | guaranteed guaranteed-value }， 配 置 最 
大 市 宽 和 保证 融 宽 三 保证 市 宽 不 大 于 最 大 市 宽 。 二 者 值 范围 都 8 一 10000000， 单 
位 : kbps。 


执行 命令 coRnecfion-number connection-number， 配 置 最 大 连接 数 。 取 值 
范围 是 1~>1000090。 


应 用 限 沉 薪 略 
。 注意; 当 对 特定 应 用 限 流 时 需 开 启 应 用 控制 功能 。 


新 建 每 iP 限 流 第 四 整体 限 流 。” 整 仁 限 党 Class 


困 建 整体 限 流 第 鸭 


同一 个 策略 视图 下 可 以 为 不 同 的 流量 创建 不 同 的 策略 。 缺 省 情况 Rw 越 先 配置 的 策略 ， 优 先 级 越 高 ， 
越 先 匹 配 报 文 。 ww AS 
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。 命令 行 配置 : 
0 进入 域 间 配 置 每 IP 限 流 策 略 视 图 : 


traffic-policy interzone [ vpn¥sinstance vpn-instance-name] zone-namel 
zone-name2{ outbound | inbound } per-ip 


0 执行 命令 Policy | policy-id 导 ， 进 入 该 条 策略 的 配置 视图 。 同一 个 策略 视图 下 可 
以 为 不 同 的 流量 创建 于 的 策 嫉 。 缺 省 情况 下 ， 起 先 配 置 的 策略 ， 优 先 级 越 高 
越 先 匹 配 报 文 。 


0 执行 命令 policy car-type { source-ip | destination-ip }， 选 择 针 对 源 IP 或 者 目 
的 IP 进 行 每 PR 限 流 。 
0 执行 命令 Delicy caqr- 0 cqr-claqss-name， 配 置 每 IP 限 流 策 


缺 省 情况 下 ， 和 针对 源 IP 进 行 限 流 。 


第 上 团 


略 引 用 Car-class ， 


流量 阻 断 配置 思路 


用 控制 策略 
p 配置 应 用 策略 
p 在 域 间 引用 应 用 策略 进行 流 
量 阻 断 


吧 置 应 用 协议 集 
”创建 应 用 协议 集 
”配置 应 用 协议 集成 员 


> 
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启用 SA 功能 


进入 应 用 控制 策略 界面 局 用 应 用 控制 功能 : 


， 第 略 


应 用 控制 功能 
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执行 命令 system-view， 进 入 系统 视图 


执行 命令 sa enable， 启 用 SA 功能 


各 识 库 升级 


。 本 地 升级 步骤 : 
执行 命令 System-view， 进 入 系统 视图 
执行 命令 update rule-base file jename， 进 行 知 识 库 本 地 升级 。 


Info: Current Version is 0.0.0.0,the New Version is 
2.0.0.132,Continue[Y/N]: 


确认 当前 版 本 和 新 版 本 知识 库 后 ， 输 入 Y 并 按 下 “Enter" 键 确认 > 进行 
升级 。 


。 设备 提示 如 下 信息 ， 则 表示 升级 成 功 : 


Info: Succeeded in updating SA to version 2.0¢0.132. 
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自动 和 手动 远 端 升级 请 查看 相关 产品 文档 , 鸣 韦 意 升 级 知识 库 对 设备 内 存 的 要 求 是 不 得 
少 于 8M.。 


创建 应 用 控制 荣 略 


创建 应 用 控制 策略 ; 在 应 用 策略 界面 点 击 “增加 ”创建 “应 用 
测试 策略 ” 单 击 “ 应 用 ”。 


应 用 控制 功能 
应 用 控制 策略 列表 


[中 关 建 | 各 种 内 居所 | 请 贺 入 第 本 名 称 QQ 喜光 
策略 名 称 ERD 


第 1 页 共 1 页 
新 建 应 用 控制 策略 
应 用 测 江 ， 
百 


> 
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怒 置 应 用 协 以 集 


。 创建 应 用 协议 集 


各 吓 除 各 刷新 
ID ”分 类 应 用 协议 鼻 议 集 
默认 default 


新 建 应 用 控制 


控制 人 象 
应 用 协议 集 
控制 上) 作 


新 建 应 用 控制 


控制 对 象 应 用 协议 ®) 应 用 协议 集 


应 用 协议 集 ckP2 一 一 olP 


wx 





D 执行 命令 System-view 进入 系统 视图 。 


执行 命令 Sa-policy polcy-nome [ vpn-instance vpn-instance name ]， 进 入 


执行 命令 policy defaul ackion {permit | deny }， 配 置 策略 的 默认 动作 。 
当 数 据 流 不 能 匹配 该 策略 的 任 一 规则 时 ， 将 执行 该 默认 动作 。 缺 省 配置 是 permit 


O 


执行 命令 rulellrule-id ]， 创 建 并 进入 SA 策略 规则 视图 。 


执行 命令 rule Mgqpp-set gpp-set-name | category category-name | 
applicafioFaopplicafion-name |] | category userdefine application 
qpplication-name }， 配 置 3A 策 略 的 规则 引用 的 应 用 协议 类 型 。 


执行 命令 Gction { permit | deny}， 配 置 策略 规则 的 动作 。 缺 省 为 permif。 
执行 命令 rule enable 户 用 策略 





~ 


和 信人、 
PP 全 


应 用 探 制 策略 


” 创建 防火 二 POTCy 定 义 需 要 控制 的 流量 ， 并 应 用 控制 策略 


不 安全 区 域 
目的 安全 区 域 
不 地 址 

目的 地 址 

用 户 

服务 

时 间 段 

动作 

手 述 


sw 
ww 
YY 
ww 
sw 
YA 
Y 
wr 


Web 过 小 
邮件 过 滩 
FTP 过 滤 
应 用 控制 


只 有 匹配 域 间 安 全 策略 并 允许 通过 的 数据 流 才 会 进行 SA 策略 处 理 。 
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行 配 置 说 明 : 


进入 域 间 安全 策略 视图 : poliey interzone |[ vpn-instance vpn-instance- 
name | zone-namel zone-neme2 { inbound | outbound} 


执行 命令 Policy [ policy-id 书 ， 创 建 转发 策略 ， 并 进入 策略 ID 视 图 。 
执行 命令 qction { permit | deny }， 配 置 域 间 安全 策略 的 动作 。 


执行 命令 policy Sa 5G-policy-name， 应 用 策略 。 


流量 阻 断 配置 举例 


R&D: 192.168.1.0/24 


Untrust 


X 


Sales: 192.168.2.0/24 


。 组 网 需求 
o 菏 公 司 通 过 内 网 研发 和 销售 人 员 分 别 分 配 在 1?2.68.1.0/24 网 段 和 
192.168.2.0/24 网 段 ， 有 如 下 业务 需求 : 
o 内 网 研发 部 门人 员 在 工作 时 间 周 一 至 周 五 的 8:00~12: 30, 怒 全 00-18:00 不 能 使 
用 IM (Instant Messaging) 功能 。 
o 内 网 销售 部 门人 员 在 所 有 工作 时 间 可 以 正常 使 用 IM 功 能 % 
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流量 阻 断 配 置 (一 ) 


。 配置 USG， 使 内 网 用 户 可 以 访问 因特网 。 (上 略 ) 
。 配置 时 间 范 围 ， 设 定 为 周一 至 周 五 的 8:00-12: 30，14: 00-18:00， 命 名 为 
work _ time。。 


入 安全 区 域 
目的 安全 区 域 
入 地 起 下 
目的 地 址 在 址 

用 户 请 选择 或 输入 用 户 或 用 户 组 
局 务 青 

时 间 段 一 新 建 时 间 级 一 


夫 反 呈 饼 
和 于 古 


新 建 时 间 丘 


中 新建 盎 出 新 
开始 时 间 结束 时 间 每 周 生 效 时 间 


第 1 页 共 1 页 


确定 取消 
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配置 USG， 使 内 网 用 户 可 以 访问 因特网 。 (上 略 ) 
配置 时 间 范 围 ， 设 定 为 周一 至 周 五 的 8:00-T2: 30，14: 00-18:00， 命 名 为 work_time 


[USG] time-range work time 8:00 fo 12:30 working-day [USG] time-range 
work_time 14:00 fo 18:00 working-dqy 


流量 阻 断 配 置 (二 ) 


。 局 用 SA 功能 ， 并 配置 应 用 控制 策略 im_block， 对 IM 类 型 的 协议 进 


并 对 检测 到 的 IM 协 议 执行 阻 断 动 作 。 
和 病症 轩 名 a 应 用 控制 列表 
宁 新 建 器 三 余 从 剧 新 


本 1 | 全 ID ”分 类 
默认 


新 建 应 用 控制 


A 


于 
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局 用 >A 功 能 ， 并 配置 策略 im_block, ,对 IM 类 型 的 协议 进行 检测 ， 并 对 检 测 到 的 IM 协 


议 执 行 阻 断 动作 。 
[USG] sa enable 
[USG] sa-policy im_block 


[USG-sa-policy-im_block] policy default action permit ( 当 没 有 匹配 rule 缺 省 的 动作 ) 


[USG-sa-policy-im_block] rale 1 
[USG-sa-policy-im_block- 肯 rule category IM 
[USG-sa-policy-imybloek-1] action deny 
[USG-sa-policy:im_block-1] quit 
[USG-sa-policy-im_block] guit 


流量 阻 断 妃 置 (三 ) 


。 配置 转发 策略 ， 在 域 间 应 用 SA 策略 im_block ， 实 现 对 
192.168.1.0/24 网 段 的 研发 人 员 在 work_time 时 间 段 内 的 IM 即 时 通讯 
的 阻 断 。 
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配置 Trust 和 Untrus 的 域 间 包 过 滤 ， 使 192.168;2.0/24 网 段 的 销售 人 员 能 正常 通讯 。 在 
域 间 应 用 SA 策略 im_block ， 实 现 对 192.168i4.0/24 网 段 的 研发 人 员 在 work_time 时 间 段 内 
的 IM 即 时 通讯 的 阻 断 。 


[USG] policy interzone trust untrust Outbound 
[USG-policy-interzone-trust-untrust-outbound] policy 0 
[USG-policy-interzone-trustsuntrust-outbound-0] policy source 192.168.2.0 mask 24 
[USG-policy-interzone-trustsuntrust-outbound-0] action permit 
[USG-policy-interzene-trust-untrust-outbound] policy 1 
[USG-policy-interzoene-trust-untrust-outbound-1] policy source 192.168.1.0 mask 24 
[USG-policysinterzone-trust-untrust-outbound-1] policy time-range work_time 
[USG-policy-interzone-trust-untrust-outbound-1] action permit 
[USG-poliey-interzone-trust-untrust-outbound-1] policy sa im_block 
[USG-policy-interzone-trust-untrust-outbound] policy 2 
[YSG-policy-interzone-trust-untrust-outbound-2] policy source 192.168.1.0 mask 24 


[QSG-policy-interzone-trust-untrust-outbound-2] action permit 


@ 目录 


. SA (Service Awareness) 产生 育 景 
应 用 控制 技术 介绍 
应 用 控制 技术 的 应 用 

3.1 SA 应 用 识别 配置 

3.2 FTP 过 滤 
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FFP 


。 FTP 过 滤 概 述 : 理解 用 尸 传输 的 信息 类 型 ， 过 滤 无 天 信息 的 获取 ， 阻 
止 企业 内 部 数据 的 外 传 企图 。 
。 局 用 该 功能 的 设备 ， 通 党 应 用 于 企业 与 互联 网 的 网 络 边界 。 


4 


FTP 服 务 器 


安全 网 关 设 条 


< 看 间 天 -< 全 ”一 
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FTP 主 要 功能 是 同 用 户 提 供 本 地 和 远程 主机 之 闻 的 信件 传输 。 在 进行 版 本 升级 、 日 志 下 载 、 文 
件 传输 和 配置 保存 等 业务 操作 时 ，FTP 功 能 被 三 涟 地 使 用 。 如 果 FTP 操 作 不 受 控 ， 会 给 网 络 市 来 较 
多 不 可 控 的 威胁 。 通 过 FTP 过 滤 ， 可 以 对 FTP 操 作 《“ 上 传 、 下 载 、 删 除 ) 、 上 传 /下 载 的 文件 名 、 文 
件 类 型 、 文 件 大 小 进行 控制 。 


FTP 过 滤 报 文 处 理 流程 


命令 解析 结 来 
| | 可 


置 阴 断 标记 : 等 待 服 务 器 的 回复 到 达 
时 。 进 行 推送 信息 若 换 


丢弃 当前 的 命令 。 不 转发 ， 发 送 size 命 
令 深 淹 文件 的 大 小 ， 等 待 服 务 器 的 回复 


Wb Huawel 





注意 : FTP 过 滤 功 能 受 License 控 制 |。 © 


N 
SQ 


cs 
RN 
~ 
人 
RN 
~ 





FTP 过 滤 配 置 举例 


(2) 
192.168.1.1/24 


Untrust 


FTP 的 操作 ， 公 司 制 定 以 下 策略 : 

a 禁止 FTP delete 操 作 。 

" 禁止 下 载 文 件 名 包 合 dota 或 craft 的 文件 。 
" 禁止 下 载 文件 类 型 为 mp3、wmf 的 文件 。 
=。 禁止 上 传 和 下 载 超过 10000KByte 的 文件 。 
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FTP 过 产 卫 直 《一 ) 


。 配置 USG， 使 内 网 用 户 可 以 访问 因特网 。 
。 配置 为 UTM 模 式 并 局 动 FTP 过 滤 功 能 。 


UTM 功 能 V 启用 应 用 


全 只 有 启用 UTM 功 能 并 且 有 相应 的 License 时 ， 入 侵 防 他、 反 病毒 、URI 鲍 
滤 和 垃圾 邮件 过 滤 功 能 才 可 以 使 用 。 


。 [USG] runmode utm 


e。 [USG] ffp-fiter enable 
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FTP 过 滤 需 要 License 支 持 ， 否 则 FTP 过 滤 不 生效 。 


FTP 


。 配置 FTP 过 


过 小 妮 置 (二 ) 


半 滤 策略 ， 


修改 FTP 过 滤 策 略 


ftp-fllter policy 


FTP 过 小 推送 信息 This operation has been forbidden 


动作 权限 控制 不 允许 上 传 文件 @ 
不 允许 下 载 文件 @ 

J 不 允许 网 作文 件 

处 理 动作 | 了断 攻 


处 理 动作 “ 阻 断 lv 


Yi 上传 文 件 大 小 限制 。 10000 ”| <1-4096000>{ 单 位 :KB) 


YI 下载 文件 大 小 限制 。 10000 ”| <1-4096000>( 单 位 :KB) 


过 滤 选 项 告警 处 理 对 象 组 阻 断 处 理 对 象 组 
上 传 文件 名 称 关键 字 

下 载 文件 名 称 关键 字 

上 传 文件 类 型 


下 载 文件 类 型 
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通过 FTP 过 滤 ， 可 以 对 FTP 操 作 (上 传 、 下 载 、 别 / 除 )、 


大 小 进行 控制 。 


设置 上 传 下 载 限 制 速率 ， 


上 传 下 载 文件 类 型 。 


WW Huawel 


二 1/ 下载 由 文件 各 文件 





类 型 、 


文件 


FTP 过 滤 配 置 〈“ 三 ) 


。 配置 FTP 过 滤 策 略 上 传 下 载 文件 类 型 ， 并 设置 为 阻 断 。 


QQ 查询 网 刷新 


全 部 文件 类 型 组 
download 


Name 
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Device 上 开启 FTP 过 滤 功 能 后 ， 当 用 户 进 行 FTP 的 upload、download 或 delete 操 作 时 ，Device 会 
对 FTP 操 作 进 行 解析 : 
oO ”如 采用 户 的 FTP 操 作 [ 匹 配 FTP 过 滤 琐 略 入 执 
o ”如果 用 户 的 FTP 操 作 没有 匹配 FTP 过 滤 策 略 ， 则 允许 该 FTP 操 作 。 


行 过 滤 策 略 《〈 阻 断 或 告警 ) 





FTP 过 小 本 年 四 ) 


。 配置 转发 策略 ， 在 域 间 应 用 FTP 过 滤 策 略 FTP。 


6 防火 坪 7 去 全 第 柳 > 转 实 第 略 


trust 

untrust 

请 选择 或 边 入 IP 地 址 

请 选择 或 输入 IP 地 址 

请 选择 或 贸 入 用 户 或 用 户 组 
请 选择 服务 

a 


园 回 国 轿 固 固 图 国 
sl 


permit 





总 结 


。 应 用 控制 的 产生 的 育 景 
。 应 用 控制 的 主要 技术 手段 
。 应 用 探 制 技术 的 应 用 及 配置 
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习题 与 答案 


.下列 摘 述 属于 特征 检测 特点 的 是 ? 
0 甬道 和 数据 传输 通道 分 开 的 应 用 协议 ， 将 多 个 通道 流量 进 


、 对 于 茶 些 业务 类 型 已 经 判定 的 流量 ， 可 以 通过 三 元 组 对 与 同 舍 专机 端 


口 进行 通讯 的 不 同 流量 进行 关联 判断 。 


、 通 过 模式 匹配 算法 ， 根 据 已 知 协议 的 内 容 特 征 ， 对 网 络 报 文 的 应 用 层 


内 容 进 行 匹 配 检索 。 


、 通 过 分 析 各 种 应 用 的 连接 数 、 单 IP 的 连接 模式 、 上 下 行 沉 量 的 比例 、 


数据 包 发 送 频 率 等 指标 来 区 分 应 用 类 型 。 


。 判断 题 
1， 关 联 识别 技术 用 来 对 多 通道 的 应 用 进行 关联 识别 和 分 析 。 
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、 下 列 摘 述 
A、 对 通 





术 属于 特征 检测 特点 的 是 ? 
讯 控 制 通道 和 数据 传输 通道 分 开 的 应 用 协议 ， 将 多 个 通道 流量 进行 协同 检 疯 


B、 对 于 某 些 业务 类 型 已 经 判定 的 流量 ， 可 以 通过 三 元 组 对 与 同一 主机 端口 进 
的 不 同 流量 进行 关联 判断 。 


通过 模式 匹配 算法 ,人 e 据 已 知 协议 的 内 容 特征 ， 对 网 络 报 文 的 应 用 层 内 容 
配 检索 。 


D、 通 


Ar 
答案 


人 


通讯 


进行 匹 


过 分 析 各 种 应 用 的 连接 数 、 单 由 的 连接 模式 、 上 下 行 流量 的 比例 、 数 据 包 发 送 
NE 用 类 型 。 


CC 


关联 误 列 拉 术 用 来 对 多 通道 的 应 用 进行 天 联 识 列 和 分 析 。 


案 : 


让 


确 


人 
av 
做 


www.huawel.com 


Thank you 





第 七 草 
UTM 特 性 故障 排除 





学 完 本 课程 后 ， 您 将 能 够 : 
握 UTM 故 障 排除 
PS 常见 故障 排除 ; 
明 AV 弟 见 故障 排除 ; 

RL 过 滤 单 见 故障 排除 ; 
明 RBL 过 滤 音 见 故障 排除 
握 上 网 行为 管理 故障 排除 。 


证 


后 
es 
宇 
is， 
后 
让 
皇 
Es 
等 


性 
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@ 目录 


.UTM 故障 排除 

. IPS 故 障 排除 

.AV 故障 排除 

.URL 过滤 故障 排除 

. RBL 过 滤 故 障 排除 

.上 网 行为 管理 故障 排除 
.升级 网 站 故障 排除 
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UTM 功 能 整体 失效 


。 现象 描述 : 
o 配置 的 UTM 功 能 如 IPS、AV、RBL 过 滤 、URL 过 滤 均 失效 。 
。 可 能 原因 : 以 
o 原因 一 : License 不 存在 或 过 期 。 
po 原因 二 : 运行 模式 切换 到 了 防火 墙 模式 。 
o 原因 三 : 禁用 了 防火 墙 状 态 检 测 机 制 。 
o 原因 四 : 开启 了 二 层 快 转 功 能 。 
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排查 步 又 〈1) 


。 原因 一 : License 不 存在 或 过 期 。 
o 执行 命令 display license， 查 看 License 是 否 存在 或 过 期 。 
。 如 果 License 不 存在 或 过 期 ， 请 购买 并 导入 License。 
。 如 果 License 未 过 期 ， 继 续 执行 原因 二 。 
。 原因 二 : 运行 模式 切换 到 了 防火 墙 模式 。 
o 执行 命令 display runmode， 查 看 当前 运行 模式 。 
a 如 果 运 行 模式 为 UTM ， 请 执行 原因 三 ， 继 续 进 行 故障 排除 。 


。 如 果 运 行 模式 为 Firewall， 请 在 系统 视图 下 执行 命令 runmode utm 
将 运行 模式 切换 到 UTM。 如 果 问 题 还 没有 解决 ， 请 执行 原因 三 。 
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。 在 USG 防 火 墙 执 行 : 
o <USG> display runmode 


Current runmode: UTM/Firewall 


排查 步 又 《2 ) 


。 原因 三 : 禁用 了 防火 墙 状态 检测 机 制 。 


o 执行 命令 display current-configuration | include link-state， 查 


4 


防火 墙 状态 检测 机 制 是 否 开 局 。 
a 如 果 防 火 墙 状态 检测 机 制 已 经 开启 ， 请 继续 执行 原因 四 。 
a 如 果 防 火 墙 状态 检测 机 制 为 关闭 ， 请 开启 。 
。 在 系统 视图 下 执行 firewall session link-state checksss 启 用 防 
火 墙 状 态 检 测 机 制 。 
o <USG> system-view 


o [USG] firewall session link-state check 
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。 检查 是 侍 开局 防火 墙 状态 检 疯 : 
o <USG> display current-configuration | include link-state 
firewall ipv6 session link-state check 
undo firewall session link-state check tcp 


undo firewall session link-state check icmp 


排查 步 又 〈31) 


。 原因 四 : 开局 了 二 层 快 转 功 能 。 


o 执行 命令 display current-configuration | include l2fwdfast， 查 看 


4 


二 层 快 转 功 能 是 否 开局 。 
a 如 果 二 层 快 转 功能 已 经 禁用 ， 请 联系 技术 支持 。 
。 如 果 二 层 快 转 功能 启用 ， 请 关闭 。 
。 在 系统 视图 下 执行 命令 undo Il2fwdfast enable ， 禁 用 取 层 快 
转 功能 。 
o <USG> system-view 


o [USGI] undo l2fwdfast enable 
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。 检查 是 否 开启 二 层 转发 功能 : 
o <USG> display current-configuration'| include l2fwdfast 
l2fwdfast enable/disable 


。 控 照 以 上 排 合 步 又 执行 后 任 然 不 能 排除 故障 ， 请 联系 华为 工程 师 。 


@ 目录 


. IPS 故 障 排 除 

.AV 故障 排除 

.URL 过滤 故障 排除 

. RBL 过 滤 故 障 排除 

.上 上 网 行为 官 理 故 障 排除 
升级 网 站 故障 排除 
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IPS 怒 置 注 意 事 项 


。 为 了 提高 检测 的 精准 度 ， 请 不 要 将 分 片 重组 功能 关闭 
。 当 签 名 的 协议 配置 为 http 时 ， 只 检测 http 头 信息 并 不 检测 body 内 容 
。 所 有 UTM 特 性 都 依赖 于 状态 检测 开关 ,该 开关 必须 打开 。 


og Firewall session link-state check， 该 命令 开关 在 utm 模 式 下 应 该 是 默认 
开启 的 ， 主 要 是 检查 是 否 存 在 用 户 误 操作 造成 该 开关 被 关闭 s 
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IPS 检 测 失效 故障 排除 


内 网 用 户 / 服 务 器 ”< 一 一 一 一 一 攻击 者 


9 一 国 一 篇 :4 


。 现象 描述 
o 内 网 的 用 户 或 者 服务 器 受到 Internet 的 菜 类 攻击 ，UsG 未 产生 |P> 攻 击 告 
警 ， 即 IP> 攻 击 检 测 失效 。 
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IPS 检 测 失 效 故 障 排除 思路 


启用 PS 全 局 开 天 
域 间 没有 应 用 IPS 策 略 或 者 方 机 错误 | 令 
配置 问题 IPS 策 略 应 用 问题 半 IPS 策 略 关联 域 间 Policy 错 误 
签名 集 配置 问题 
IPS 策 略 配 置 问题 一; 配置 的 策略 未 提交 编译 


IPS 检 测 失 效 license 过 期 


引擎 及 特征 库 问 题 HH 特征 库 及 引擎 版 本 过 低 


特征 库 及 引 学 不 能 众 莉 访 天 区 


Bypass 功 能 开启 





原因 一 : 配置 问题 


没有 启用 IPS 全 局 开关 
o 执行 命令 display ips global-configuragtion， 查 看 IPS$ 全 局 开关 使 能 状 


<USG>display ips global-configuration XX 
05:14:50 2008/09/16 
IPS Global Configuration Info 


IPS global switch : Enable 


IPS mode . Active 
Privilege policy : ips_5 
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IPS global switch 表 示 IPS 全 局 开关 的 使 能 状态 。 如 果 状 态 为 enable， 表 示 合 能。 如果 
状态 为 disable， 表 示 未 开局 。 


原因 一 : 配置 问 捉 


。IPS 策 略 应 用 问题 
o 执行 命令 display policy interzone zone1 -name zone2 - name { 
inbound | outbound }， 查 看 用 户 与 Internet 所 属 的 域 间 是 否 应 用 千 
IPS 策 略 ， 策 略 应 用 的 方 同 及 关联 的 Policy 是 否 正确 。 


<USG>display policy interzone trust untrust outbound 

policy interzone trust untrust outbound 

firewall default packet-filter is permit (0) 
policy 0 (2586 times matched) > 
action permit 

action permit 

policy service service-set ip 

policy source any 

policy destination any 

policy ips abc 


| 
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。 域 间 方 问 判 断 依据 为 访问 发 起 的 方向 ， 头 联 域 间 Policy 的 时 候 需要 注意 Policy 的 匹配 顺 
序 为 顺序 匹配 ， 匹 配 到 一 条 策略 后 不 再 往 下 匹配 。 





原因 一 : 配置 9 和 串 


。 |PS 策 略 配 置 | 问题 
o 执行 命令 display ips policy policy-name， 检 查 IPS 策 略 的 配置 信息 。 


<USG>dis ips policy test 
Signature set : test XX 
Direction :to-server,to-client 
Severity :>= warning 
Reliability : disable 
Protocol :disable 
Category :disable 
State :enable 
Action :block 
Override list(0): 
ID Action State Name 
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。 检查 签名 集 是 否 包 含 该 攻击 的 签名 ， 如 果 不 包 含 ， 尝 试 调整 方向 、 严 重 性 、 协 议 等 参数 
后 再 次 查看 是 否 包 含 该 攻击 的 签名 。 妖 果 有 特权 策略 ， 则 相应 的 检查 特权 策略 中 是 否 包 
含 该 攻击 的 签名 。 


to-Server、tfo-client 指 的 是 报 文 的 方向 , WIHTTP 的 请 求 报 文 ， 就 是 1o-server，HTTP 的 回 
应 报 文 束 是 to-client 的 。 对 于 UDP 协 议 ， 谁 先 发 报 文 ， 谁 就 是 client 端 ， 发 出 去 的 报 文 
为 1o-Seryer。 

当 所 有 选项 都 没有 “开局 ”时 党 表示 该 签名 集 包 含 了 所 有 签名 。 当 有 选项 开局 了 但 没有 指 

定 具 体 的 值 ， 则 该 签名 集 不 包 任 何 签名 。 


签名 集 《包括 模板 中 的 答 | 略 中 ， 排 在 前 面 的 签名 
集 比 排 在 后 面 的 签名 集 的 优先 级 高 。 如 果 一 个 签名 包含 在 一 条 IPS 策 隔 的 多 个 等 名 集中 
， 则 Us 按照 优 匈 级 局 的 从 名 集 所 配置 的 启用 状态 和 响应 方式 对 匹配 和 名 的 报 文 进行 处 


自 定义 签名 只 能 通过 覆盖 签名 的 方式 加 入 到 策略 中 。 


原因 一 : 配置 问 古 


0 执行 命令 ips configure commit， 对 IPS$ 策 略 进行 编译 。 


[USG]ips configure commit 
05:57:10 2008/09/16 
Info: No configuration need to commit. 
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如 果 显 示 提 交 成 功 则 说 明之 前 未 提交 过 ， 显 示 不 需要 提交 说 明之 前 已 经 做 过 提交 。 


修改 已 应 用 在 域 间 的 IPS 策 略 的 签名 或 覆盖 签名 的 配置 后 ， 这 些 修改 不 会 立即 生效 ， 需 
要 使 用 ips configure commit 命 令 提 交配 置 ， 更 新 IPS 策 略 


与 IPS3 策 略 相 天 的 以 下 修改 需要 提交 编译 后 才 生 效 : 
兽 加 、 删 除 、 修 改 人 名 ; 
5 增加 、 删 除 、 修 改 覆 年 签 名 ; 
0 删除 、 修 改 目 定义 等 名 。 


原因 二 : 引擎 及 特征 库 问 题 


o 执行 命令 display ips Yersion ， 查 看 当前 设备 是 否 已 加 载 |Py 特 征 库 及 引 
擎 。 


[UTM5000_Aldisplay ips version 
06:21:08 2008/09/16 


Current version : 

Version number : 20090827.009 
Engine version : 4.002 

Engine size : 1204020 bytes 
Signature database version :20090827.009 
Signature database size : 622569 bytes 
Update time : 02:52:10 2008/09/16 
Issue time of the update file : 17:56:07 2009/08/27 
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e。 Current version 表 示 当 前 版 本 的 IP$ 特 征 库 及 加 敬 版 本 信息 。 如 果 Current version 没 
或 者 该 版 本 不 是 最 新 发 布 版 本 ， 请 检查 升级 回 题 ， 如 果 检 查 配 置 都 正确 ， 特 征 库 及 引擎 
版 本 都 是 最 新 版 本 ， 如 果 还 不 能 检测 该 攻击 ， 则 有 可 能 是 新 型 攻击 ， 不 能 识别 ， 请 联系 
技术 支持 。 





原因 二 : 引擎 及 特征 库 问 题 


o 执行 命令 display license， 查 看 License 是 否 过 期 。 


[UTM5000_Aldisplay license 

06:33:39 2008/09/16 

Device ESN is: 2102351337Z08C000032 

Have already activated 1 License file,the file is: 
flash:/on1032318.dat Activated time: 2008/08/13 09:21:08 
VPN : 7000 

VFW 50 

GTP : ENABLED 

IPS : ENABLED; Expiration date: 2010-04-15 
URL Filter : ENABLED; Expiration date: 2008-12-15 
Anti Virus : ENABLED; Expiration date: 2010-04-15 
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。 临时 license 存 在 使 用 期 限 ， 商 用 license 永 从 有 效 ， 但 升级 服务 有 时 间 限 制 ， 如 果 版 本 


不 能 更 新 ， 可 以 查看 升级 服务 是 否 到 期 。 


原因 三 : Bypass 功 能 开局 


。 Bypass 功 能 开局 
o 执行 命令 display utm bypass state 查 看 UTM bypass 功 能 工作 状态 。 


<USG>display utm bypass state 
19:21:01 2009/07/04 
UTM bypass function is enabled. 
UTM bypass function is inactive at current. 
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。 当 处 理 能 力 不 足 时 ,为 了 保证 用 户 体 验 ,USG 会 优先 选择 放行 业务 ,不 做 检测 Inactive 表明 
utfm 没 有 bypass,Acfive 表 明 发 生 了 bypasSsse 


IPS 业 务 个 通 故 障 排除 


Internet 用 户 


。 现象 摘 述 
o 开启 IPS 功 能 后 ， 配 置 正确 的 情况 下 ， 某 些 需要 通过 防火 墙 的 业务 不 通 
， 即 IPS 业 务 不 通 。 
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IPS 务 不 通 故 障 排除 思 


来 回路 径 不 一 至 


| 组 网 ] Hn | 
” 1 to WY -4 闫 和 “| 7 
同一 流量 两 次 经 过 防火 墙 


IPS 业 务 不 通 | 误 报 问题 ] 





| Bypass 蕊 能 未 开局 流 最 过 大 B 起 至 了 
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。 当 网 络 上 出 现 流 过 以 


量 不 通 或 部 分 业务 ,如 洲 戏 经 党 断 线 之 类 的 网 络 故 障 时 ， 可 通 
上 步骤 来 快速 判定 是 否 


par io ot 能 的 解决 问题 。 


组 网 问题 : 来 回路 径 不 一 致 


。 由 于 UTM 模 式 要 求 开 局 状态 检 测 ， 所 以 不 文 持 来 回路 径 不 一 致 的 组 


PR 


~ SYN+ACK 
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三 次 握手 的 报 文 经 过 两 个 不 同 的 路 径 :客户 端 帮 出 的 Syn 报 文 经 过 防火 墙 A， 而 服务 器 返 
回 的 Syn+ack 报 文 却 经 过 防火 墙 Bb 返 回 给 短 丰 端 ， 这 时 防火 墙 B 收 到 该 报 文 却 找 不 到 会 
话 ， 会 把 该 报 文 丢 弃 ， 客 尸 端 无 法 完成 马 次 握手 。 而 防火 墙 和 会 因为 收 不 到 syn + Qck 报 
文 导致 流程 中 断 ， 后 续 业 务 不 正常 。 


组 网 问题 ， 同一 报 文 两 次 经 过 防 炙 场 


。 故障 描述 
o 防火 墙 工作 在 透明 模式 或 混合 模式 ， 开 局 UTM 功 能 (IPSsAAV 歌 URL 过 
滤 ) ， 业 务 报 文 流行 为 outside->trustuntrust ， 两 次 竖 过 防火 墙 ， 此 
场景 下 会 导致 HTTP/SMTP/POP3 或 其 他 业务 不 通 。 
。 解决 方法 
o 调整 网 络 ， 避 免 走 UTM 流 程 处 理 的 业务 两 次 经 过 防火 墙 ; 
o 调整 防火 墙 配置 ， 两 次 经 过 防火 墙 业 务 不 再 进 每 UTM 流 程 处 理 。 
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组 网 问题 : 同一 报 文 两 次 经 过 防火 场 
。 原 配置 


policy interzone trust untrust inbound 


policy 0 policy interzone trust outside inbound 


action permit policy 0 
policy ips protect_pc action permit 
policy ips protect_ pc 
i tect 
A policy av protect_pc 
# 


# 


policy interzone trust untrust outbound policy interzone trust outside outbound 


policy 0 policy 0 
. . action permit 
action permit 
policy ips protect pe 
policy av protecti pc 


policy ips protect_pc 


policy av protect_pc 
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组 网 问题 : 同一 报 文 两 次 经 过 防火 场 
。 修 改 配置 解决 法 


o 配置 服务 器 和 客户 端 地 址 集 
[USG5000]ip address-set server type object 4 
[USG5000-oblject-address-set-server]jaddress 10.11.140.51 0 
// 服 务 器 IP 地址 根据 实际 情况 做 调整 
[USG5000jip address-set client type object 
[USG5000-oblject-address-set-clientljaddress 10.11.140.117 0 
// 客 户 端 ，IP 地 址 根据 实际 情况 做 调整 


o 域 间 策 略 服务 器 和 客户 端 互 访 不 再 进行 AVVIS 检 测 处 理 
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组 网 问题 : 同一 报 文 两 次 经 过 防火 场 


policy interzone trust untrusf inbound 
policy0 

action permit 

policy source address-set server 
policy destination address-set client 
policy 1 

action permit 

policy ips protect_pc 

policy ay protect_pc 

于 

policy interzone trust untrust outbound 
policy0 

action permit 

policy source address-set client 
policy destination address-set server 
policy 1 

action permit 

policy ips protect_pc 

policy ay protect_pc 


policy interzone trust outside inbound 
policy0 

action permit 

policy source address-set client 
policy destinagtion address-set server 
policy 1 

action permit 

policy ips protect_pc 

policy av protect_pc 

# 

policy interzone trust outside oytbound 
policy0 

action permit 

policy source address-set server 
policy destination address-seét client 
policy 1 

action permit 

policy ips protect_ Be 

policy av pretect_pc 





~ ef 
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IPS 业 务 不 通 故 障 排除 步骤 


检查 组 网 是 否 存在 来 回路 径 不 一 致 或 者 同一 报 文 两 次 经 过 防火 墙 的 情况 。 
判断 是 否 是 误 报 ， 需 要 分 析 流 量 ， 如 无 法 确定 ， 可 抓 包 发 给 技术 支持 人 员 
分 析 。 如 果 确 定 为 误 报 ， 执 行 步骤 3。 

找到 该 流量 所 用 的 PS 策略 ， 可 利用 覆盖 签名 去 使 能 该 签名 或 把 该 签 人 2 靖 动 
作 改 成 alert。 undo override-signature id enable 


系统 视图 执行 display utm bypass state 查看 Utm _ bypass 功能 是 咎 开启 
，disable 表 示 未 开户 ， 通 过 命令 utm bypass enable 开 启 该 功能 。 


如 果 上 述 方法 不 能 排除 故障 ， 可 以 尝试 步骤 5、6。 
修改 ips 策 略 并 执行 命令 ips configure commit 将 IPS$ 策 略 提 妇 编 译 。 
执行 命令 update online ips 升 级 IP$ 特 征 库 库 。 
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可 以 通过 查看 日 志 判 断 是 否 产 生 IP3 攻 击 ， 再 看 动作 是 否 为 block, 还 要 判断 该 日 志 是 否 
针对 问题 沉 量 的 。 

IPS 会 话 或 NDC 会 话 满 规格 后 ， 若 没有 开启 流量 DypPqss 功 能 ， 会 阻 断 超过 规格 的 流量 
我 们 可 通过 修改 策略 来 触发 状态 机 的 重新 编译 。 如 把 策略 中 的 某 条 签名 的 动作 由 block 
改 成 alert 再 改 成 block。 这 样 配置 没有 真正 改变 ， 但 执行 ips configure commit 还 是 
会 重新 编译 状态 机 。 若 出 现 “Iafo: No configuration need to commit.” 则 表示 没有 
编译 状态 机 。 


升级 特征 库 主 要 是 解决 引擎 的 销 误 。 


@ 目录 


， AV 故 障 排除 

.URL 过滤 故障 排除 

. RBL 过 滤 故 障 排除 

上 网 行为 管理 故障 排除 
升级 网 站 故障 排除 
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AV 了 配置 注意 事项 


HTTP 加 速 传输 体验 的 开启 可 能 造成 页 面 不 能 推送 ， 或 者 放 过 病毒 但 关闭 可 
能 造成 在 线 视频 应 用 连接 时 间 较 长 。 

建议 开启 断 点 续 传 检测 功能 。 

仅 配 置 支持 热 备 ， 而 病毒 引擎 和 病毒 库 不 支持 。 XX 
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AV 检 测 失 效 故 障 排除 


。 现象 描述 
o 防火墙 开启 AV 功 能 后 ， 不 能 检测 到 病毒 。 
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AV 检 测 失 效 故 障 排除 思 


未 在 域 问 应 用 AV 策 略 或 应 用 方向 错误 
AV 策 略 应 用 问题 一 | AV 策 略 关 联 错误 的 域 间 Polic 
扫描 等 级 或 解 太 层 数 设 图 过 低 令 
检测 文件 过 大 ， 超 出 检测 范围 J 
AV 策 略 配 告 问 题 钱 加 速 体验 问题 


License 过 期 


引擎 及 特征 库 问 题 -| ( 引 训 及 特征 库 版 本 过 低 


WW HuaAwel 





原因 一 : 配置 问题 


。 未 使 能 AV 全 局 开关 
o 执行 命令 display qv global-configurafion ， 查 看 av 全 局 开关 使 能 状态 。 


Anti-Virus Global Configuration Info 扩 


Anti-Virus global switch : Enable 
Scan level 2 
Max decompressable layer : 10 
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查看 av 全 局 开关 使 能 状态 : 如 果 状 态 为 enqble 守 表示 使 能 。 如 果 状 态 为 disable， 表 示 未 
开启 。 扫 描 等 级 取 值 越 高 ， 病 毒 检测 率 会 越 高 % 但 产生 误 报 的 可 能 性 也 越 大 。 当 网 络 上 传 
输 的 文件 的 压缩 层 数 小 于 或 等 于 最 大 解压 层 数 时 ， 文 件 将 被 解压 ， 然 后 进行 扫描 ; 当 文 件 
的 压缩 层 数 大 于 最 大 解压 层 数 时 ， 不 对 又 件 进行 扫描 ， 并 按照 超过 最 大 解压 层 数 的 动作 处 
+ 


原因 一 : 耻 症 问题 


。 AV 策 略 应 用 问题 
o ”执行 命令 dis policy interzone zonel1 zone2 {inbound | outbound}， 查 看 用 
户 与 Internet 所 属 的 域 间 是 否 应 用 了 AV 和 策略， 策略 应 用 的 方 同 及 关联 的 Poliecy 是 
否 正 确 。 


X 


policy interzone trust unNntrust outbound 
policy0 
action permit 
policy qv ggg 
policy | 
adction permit 
policy service service-set ip 
policy source any 
policy destination any 
policyav abc 
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。 应 用 AV 策 略 时 ， 要 注意 : 
D 方向 问题 ， 是 会 话 发 起 的 方向 ; 
oO 关联 policy 时 ，policy 是 顺序 匹配 ， 匹 配 到 一 条 后 不 再 往 下 匹配 。 


原因 一 : 配置 问题 
。 AV 策 略 配置 问题 


o 执行 命令 display qv policy， 查 看 av 策略 配置 。 
<USG> display av policy 


Policy name : av-policy 


Description : Anti-Virus policy 
Use reference 0 
Password-protected-file action : Permit 
Deep-compressed-file action  : Permit 
Large-file action : Permit 


HTTP switch : Enabled 

Action : Block 

Action when over-load : Bypass 

Max file size to scan : 10 MBytes 

Web push notification : Warning: the page you [request includes virus 
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。 AV 策 略 配 置 中 容易 导致 AV 检 测 失 效 的 参数 硼 : 
o 超大 文件 ， 最 大 处 理 能 力 为 20MA 超大 文件 参数 设置 为 允许 则 超过 20M 文 件 直接 
放行 ; 
0 超过 解压 层 数 文件 ， 参 数 设 置 为 允许 ， 则 超过 解压 层 数 的 文件 直接 放行 ; 
0 密码 保护 及 受 损 文件 ,。 设 置 为 多 许 ， 不 能 检测 直接 放行 ; 
op HTTP 加速 体验 会 导致 和 检测 能 力 受 影响 ; 


5 指定 扩展 名 扫描 中 不 包含 东 种 扩展 名 。 


原因 二 : 引擎 及 特征 库 问 题 


。 引擎 及 特征 库 问 题 
o 执行 命令 display qv version ， 查 看 是 否 已 加 载 AV 引 擎 及 签名 库 。 


Current version : 
Version number : 20090811.001 
Engine version : 1.000 
Engine Size : 2008792 bytes 
Signature database version :20090811.001 
Signature database size : 48057345 bytes 
Updoate time : 18:41:13 2009/08/11 
Issue time of the updoate file :02:32:24 2009/08/12 
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Current version 表 示 当 前 版 本 的 AV 引 | 擎 及 签名 库 版 本 信息 。 如 果 Current version 没 
或 者 该 版 本 不 是 最 新 发 布 版 本 ， 请 检查 升级 问题 。 如 果 版 本 为 最 新 版 本 ， 配 置 正 确 的 情 
况 下 ， 还 是 无 法 检测 菜 些 病毒 ， 有 可 能 是 新 的 病毒 不 能 检测 ， 请 联系 技术 支持 。 


原因 二 : 引擎 及 特征 库 占 题 


o 执行 命令 display license ， 查 看 License 是 否 过 期 。 


[USG2200]display license 

06:33:39 2008/09/16 

Device ESN is: 2102351337Z08C000032 

Have already activated 1 License file,the file is: 
flash:/on1032318.dat Activated time: 2008/08/13 09:21:08 
VPN : 7000 

VFW : 50 

GI : ENABLED 

IPS : ENABLED;， Expiration date: 2010-04-15 
URL Filter : ENABLED, Expiration date: 2008-12-15 
AntiVirus : ENABLED; Expiration date: 2010-04-15 
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< “3 


原因 三 : Bypass 功 能 开局 


。 Bypass 功 能 开局 
o 执行 命令 display utm bypass state 查 看 UTM bypass 功 能 工作 状态 。 


<USG>display utm bypass state 
19:21:01 2009/07/04 
UTM bypass function is enabled. 
UTM bypass function is inactive at current. 
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当 处 理 能 力 不 足 时 ,为 了 保证 用 户 体验 ,USG 会 优先 选择 放行 业务 ,不 做 检测 Inactive 表明 
Utm 没 有 BDypPass,Active 表 明 发 生 了 byxpPaqs5% 


AV 业 务 个 通 故 障 处 理 


内 网 用 户 ”一 个 -一 


$F K 


。 现象 描述 
o 开局 AV 功 能 后 ， 霖 些 经 过 防火 墙 的 上 层 的 应 用 不 通 。 如 邮件 承 能 发 送 或 接收 ， 
HTTP 网 页 不 能 正常 浏览 。 
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。 Tcp 代 理 的 存在 会 改变 报 文 序 列 号 ， 如 果 和 网 络 上 其 它 设备 结 合 ， 可 能 出 现 问 题 。 由 于 
AV 特 性 使 用 的 是 全 代理 模型 而 非 单纯 的 转发 模型 ， 因 此 茶 些 应 用 场景 下 会 造成 业务 不 
通 。 另 外 ， 网 络 上 的 其 它 设备 的 不 当 处 理 ， 也 可 能 对 AV 业 务 造成 影响 ， 造 成 业务 不 通 
。 人 V 业 务 对 于 以 下 两 种 应 用 场景 不 支持 : 来 回路 径 不 一 致 、 报 文 两 次 命中 QY 策 略 。 


。 业务 不 通 一 般 都 是 由 于 fcpP 连 接 时 三 次 握手 建立 出 现 问题 ， 需 要 依赖 抓 包 和 qdebug 信 息 
来 定位 。 


来 加 路径 不 一 致 
报 文 购 次 他 中 AV 策 略 w| 


{组 网 问题 |- 








AV 业 务 不 通 故 障 


一 AV 末 略 配 莹 问题 一 TS 


1 Bypass 功 能 关闭 | 
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。 当 上 层 的 应 用 不 通 。 如 邮件 不 能 发 送 或 接收 ;HTTP 网 页 不 能 正常 浏览 ， 病 毒 文件 不 能 正 
单 扫描 。 可 通过 以 下 步骤 来 快速 判定 是 否 是 AV 模 块 的 问题 并 尽 可 能 的 解决 问题 。 (前 
提 : 配置 都 是 正确 的 ) 


AV 业 务 个 通 故 障 排 除 步 又 


。 检查 组 网 是 否 存 在 来 回路 径 不 一 致 及 同一 报 文 两 次 经 过 防火 墙 的 问题 。 
。 检查 AV 策 略 设 置 ， 查 看 是 否 存 在 拒绝 ( deny ) 的 配置 项 。 


display av policy 
AV Policy "1" 


Description :Anti-Virus policy 

Referenced st 

Password-protected-file action : Permit (密码 保护 ) 
Deep-compressed-file action : Permit (压缩 层次 过 多 ) 
Malformed-file action : Permit (文件 格式 损坏 
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。 对 于 大 文件 、 窗 码 保护 、 文 件 格 却 损 坏 、 压 缩 层次 过 多 等 情况 ，Ay 扫 摘 引 擎 无 法 完成 
正常 扫 搓 ， 建 议 配 置 为 permif。 如 果 是 demy 可 能 导致 业务 失败 ， 比 如 无 法 上 传 邮 件 附 
件 等 。 


AV 业 务 个 通 故 障 排除 步骤 


丁 命令 display utm bypass state 查 看 bypass 状 态 。 


[USG5360]dis utm bypass state 
16:44:33 2011/07/20 
UTM bypass function is disabled. 
UTM bypass function is inactive at current. 
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当 流 量 过 大 ， 如 果 未 开启 UIM bypass 功 能 ， 醋 能 会 因为 性 能 不 足 导致 部 分 业务 问题 。 
Disable 表 示 未 开户 ， 通 过 命令 utm bypqss Enhaoble 开 启 bypass 功 能 。 


.URL 过滤 故障 排除 
. RBL 过 滤 故 障 排除 
上 网 行为 管理 故障 排除 
升级 网 站 故障 排除 
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URL 过 滤 配 置 注 意 事 项 


以 下 操作 需要 执行 命令 url-filter configure commit 更 新 配置 后 才能 生 
效 。 
添加 、 删 除 黑 白 名 单 
修改 黑白 名 单 的 匹配 方式 
修改 黑白 名 单 的 匹配 内 容 X 
修改 自 定 义 分 类 的 匹配 方式 
修改 目 定义 分 类 的 匹配 内 容 
修改 策略 中 自 定义 分 类 的 动作 
o 添加 或 者 删除 自 定义 分 类 
如 无 高 安全 性 等 特殊 需求 ， 不 建议 配置 查询 预定 兴 分 类 失败 的 动作 


为 阻止 ， 否 则 ， 由 于 网 络 状况 不 好 等 原因 导致 但 询 失 败 ， 将 有 可 能 
造成 用 户 的 普通 HTTP 访 问 失败 。 
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用 户 更 新 配置 后 ， 由 于 设备 会 重新 编译 配置 信息 对 性 能 会 有 一 定 程度 的 影响 。 建 议 用 户 
在 完成 所 有 配置 后 统一 提交 。 


URL 过 滤 失 效 故 障 排除 


WWW 


— 一 4 下 ~ 


。 现象 描述 
o 企业 内 网 用 户 上 网 时 ，URL 过 滤 功 能 失效 。 例 如 : 茶 个 嫩 [ 已 经 加 入 黑 
名 单 ， 但 用 户 仍然 可 以 访问 ; 茶 类 URL 的 控制 动作 配置 为 阻止 ， 但 用 户 
仍然 可 以 访问 。 
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URL 过 滤 失 效 故 障 排 除 思 路 


~ 
源 地 址 是 耕 被 加 入 裔 多 伦 5 
所 需要 访问 的 URL 吓 入 天 SW 名单 


黑白 名 单 匹配 六 
URL 过 滤 检 测 失效 和 中 术 沁 六 网 评 


开 级 、 分 天 服务 器 不 可 达 | | 基 辣 吉 风 并 


WU 


Bypass 功 能 开启 SS 


令 


URL 过 滤 配 置 问题 


WW Huawel 





原因 一 : URL 过 滤 配 置 问题 


过 虑 配置 器 题 
o 执行 命令 display url-filter global-configuration， 查 看 URL 过 滤 全 局 开关 


<USG5000>display url-filter global-configuration Global configuration information a 
URL filtering 


Notification message : The URL is forbidden. 


URL filtering global switch : Enable (0) 
Default action : Permit 
Category query fail action : Permit AS 
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原因 一 : URL 过 滤 配 置 问题 


0 执行 命令 display url-filter policy， 查 看 URL 过 滤 策 略 的 配置 。 


<USG5000> display url-filter policy 


URL filter policy 
(Count:2 ) 
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。 如 果 CoOuUNt 为 0， 表 示 示 配置 URL 过 滤 策 略 。 


原因 一 : URL 过 滤 配 置 问题 


o 执行 命令 display policy interzone zone-namel zone-name2 
{inbound | outbound }， 查 看 域 间 是 否 应 用 URL 过 滤 策 略 。 


unNtrust outbound 
firewall default packet-filter is permit 
policy 0 (49 times matched) 
action permit 
policy service service-set ip 
policy source any 
policy destination any 
policy url-filter url 


<USG5000> display policy interzone trust untrust outbound policy interzone “WX 
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在 该 步骤 中 需要 注意 所 配置 的 URL 过 滤 策 略 方 问 与 HTTP 请 求 会 话 建 立 的 方向 是 否 一 致 。 
应 该 根据 HTTP 请 求 会 话 建立 的 方向 决定 URB 过 滤 策 略 配 置 ihbound 还 是 oUtbound 方 向 
。 男 外 需要 注意 关联 正确 的 policy, 和 policy 是 按 顺 序 执行 。 


原因 一 :_ URL 过 滤 配 置 问题 


oO 执行 命令 display url-filter Policy policy-name,， 


<USG5000> display url-filter policy url 
URL filter policy "Url” 
Description 
Referenced 2 
Remission-IP : Disable 
Blacklist : Enable 
Whitelist : Enable 
User-defined category : Enable 
Pre-defined category : Enable 
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刁 


查看 


策略 设置 


se 





HUAWEI 


。 在 策略 设置 中 ， 要 注意 启用 相应 的 功能 。 如 配置 了 黑 昌 名单， 需要 局 用 黑 日 名 单 ， 选 


自 定 义 分 类 或 者 预定 义 分 类 。 
。 男 外 关于 url 的 过 滤 顺 序 是 按照 : 
跟 SwWeb 页 面 显 示 的 顺序 无 关 。 


2zDY 


着 锡 ip、 人 有 自 名 单 、 黑 名 单 、 自 定义 


分 类 、 


预定 义 分 类 


择 


3 


。 Ur| 预 定义 分 类 里 面 专门 有 个 分 类 则 other-sites， 远 程 服务 器 里 找 不 到 分 类 的 域名 都 归 到 


这 里 。 


: URL 过 滤 屿 置 问题 
略 子 功能 设置 ， 分 别 查 看 黑 名 单 、 日 名 单 、 峪 免 P 等 。 


<USG>display url-filter whitelist 


ID Mode Matched-Times URL 
1 exact 0 www.baidu.com/ 


<USG>display url-filter remission-ip 
URL-filter remission-ip : 192.168.1.0 0.0.0.255 
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。 检查 失效 的 产地 址 是 否 说 加 到 容 免 ip 地 址 中 , 天 效 的 目标 是 否 被 加 入 到 日 名 单 ， 或 者 伞 
加 入 到 黑 名 单 中 ， 但 由 于 匹配 方式 设置 不 涩 导致 黑 名 单 没有 [匹配 上 。 如 设置 黑 名 单 精确 
匹配 Www.baidqu.com 但 是 还 是 可 以 打开 mp3.baidqu.com。 


原因 一 : URL 过 滤 配 置 问题 


Do 执行 命令 url-filter configure commit， 提 交 URL 配 置 。 


[USGl]url-filter configure commit 
10:22:54 2011/12/02. 
Info: Commit successful. 
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如 果 提 示 信 息 为 “Info: Commit successf 旬 ， 说 明 配 置 提交 成 功 。 


如 果 提 示 信 息 为 “Info: No configurgtion need to commit.”， 说 明 没有 需 
的 配置 。 





提 





~ 
人 入 
入 


。 DNS 设置 器 题 
o 执行 命令 display dns dynamic-host， 查 看 动态 域名 解析 缓存 信息 是 否 
解析 到 分 类 服务 器 地 址 。 


<USG> display dns dynamic-host XX 
No Domain-name lpAddress TTL 


0 执行 命令 display dns resolve， 查 看 是 否 开 启 DNS 解 析 功 能 。 


<USG5000> display dns resolve 
DNS resolve is disabled. 


oO 执行 命令 display dns server， 查 看 DNS 地 址 配置 是 舍 呈 人 确 。 


<USG5000> display dns server 
IPv4 DnNs Servers: 
No configured servers. 


NW HuAwel 
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使 用 预定 义 分 类 策略 的 时 候 ， 防 火 墙 需 要 在 线 查 询 预定 义 分 类 服务 器 ， 使 用 的 是 域名 
方式 ， 需 要 防火 墙 开 局 DNS 功 能 ， 如 果 未 开局 DNS 功 能 则 首先 开局 DNS 功 能 。 然 后 检查 
DNS 服 务 器 地 址 是 否 设 置 正确 ，DNS 服 务 器 是 否 可 用 。 


下 ， \N 全 口 、 
原因 二 : 升级 、 分 类 服务 兹 不 可 达 
。 域 旧 规则 设置 问题 
oO 执行 命令 display policy interzone local untrust outbound 检 查 防 火 
墙 到 外 网 域 间 规则 是 否 开启 。 

[USG]dis policy interzone local untrust outbound A 

policy interzone local untrust outbound 

firewall default packet-filteris permit 


Am 
。 网 络 不 可 这 


o 执行 命令 display security Servyer， 查 看 USG 与 安全 服务 中 上 是 否 已 连 
接 . 


<USG> display security server 令 
Security server : Sec.huawei.com 
URL Filter Connection State : 1 (0-Disconnected 1-Connecti -C 


onnected) 
o 在 排除 DNS 和 域 间 规则 问题 后 ， 请 检查 网 络 问 题 。 
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使 用 预定 义 分 类 策略 时 ， 防 火 墙 需要 与 分 类 服务 器 通讯 ， 因 此 要 开启 防火 墙 到 外 网 域 
间 规 则 。 


原因 三 : License 不 存在 或 失效 


执行 命令 display license ， 查 看 License 是 否 不 存在 或 者 过 期 。 


<USG5000> display license 

Device ESN is: 2102351337Z08C000025 

Have already activated 1 License file, the file is: 
cf:/on1032318.dat Activated time: 2009/09/01 15:59:47 
flash:/ON1032318.dat Activated time: 2009/09/11 15:58:35 
flash:/license.dat Activated time: 2009/09/29 19:44:35 
VPN : 7000 

VFW -50 

GTP : ENABLED 

IPS : ENABLED; Expires: 2010-09-02 

URL Filter : ENABLED 

Anti Virus : ENABLED; Expires: 2011-09-02 
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。 正式 商用 license 永 久 有 效 ， 显 示 过 期 时 间 为 “expire time:9999-12-31” ， 临 时 
icense 一 般 有 效 期 为 三 个 月 。 


原因 四 : Bypass 功 能 开启 


。 Bypass 功 能 开局 
o 如 果 客 户 反 映 url 功 能 有 时 生效 有 时 不 生效 ， 重 点 怀疑 是 否 是 流量 过 大 造 
成 。 
寺 别 注意 是 否 同 时 开局 了 其 它 UTM 业 务 ， 流 量 过 大 导致 bypass 功 能 开 


M24 
[USG]display utm bypass state 小 


UTM bypass function is enabled. BS 
UTM bypass function is active at current. 
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URL 过 滤 故 障 排除 案例 


< 了 二 HH、 下 
故障 摘 述 [USG2200]disp url-filter statistics 
o 用 户 启 用 了 url 过 滤 功 能 ， 激 活 19:26:34 2011/08/08 


Statistic information about URL filterifiig 


licence 后 ， 配 置 了 黑白 名 单 ， | -一 一 一 -一 一 一 一 一 Ps 一 


2 ee Total HTTP requests | 
预定 义 策 略 和 目 正义 策 略 ， 都 Total permitted HTTP requests : 0 


Total denied HTTP requests :0 
不 生效 ,无 一 条 匹配 上 应 用 的 ”| Match blacklist .0 


策略 ， 如 右 图 所 示 Match whitelist 0 


Match user-defined Sategory :0 
Match pre-defined category :0 
Default action :0 
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URL 过 尖 故 障 排除 委 例 


。 定位 步骤 


检查 Url 过 滤 功 能 的 license 激 活 并 在 有 效 期 内 ; 


检查 防火 墙 模 式 为 UTM， 检 查 url 每 个 步骤 配置 ， 必 配 部 分 均 以 ”家 置 
， 并 在 正确 的 域 间 应 用 了 策略 ; 


细 检 查 域 间 的 策略 发 现 Policy 1 有 命中 ， 而 Policy2 无 一 命中 。 \4 


USG2200]disp policy interzone trust untrust outbound 
policy interzone trust untrust outbound 

firewall default packet-filter is permit 

policy 1 (316123 times matched) 

action permit 

policy url-filter worktime 


policy 2 (0 times matched) 
action permit 


policy url-filter worktime 





Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved Page 56 以 HUAVWEI 


只 要 命中 一 个 就 不 会 再 执行 剩 下 的 策略 s 所 以 需要 把 所 有 的 UTM 的 功能 都 加 到 一 
个 策略 里 面 。 


5. RBL 过 滤 故 障 排除 
6. 上 网 行为 管理 故障 排除 
7. 升级 网 站 故障 排除 
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RBL 过 滤 注 意 事 项 


。 DNS 服 务 器 用 来 查找 RBL 服 务 器 ， 只 有 配置 了 用 于 查询 RBL 的 DNS 服 务 器 ， 
USG 才 能 与 RBL 服 务 器 建立 连接 。 
选择 DNS 服务 器 时 需要 注意 :必须 使 用 没有 被 DNS 劫持 的 DNS 服务 器 ,A 耕 
则 所 有 发 送 邮 件 的 源 IP 地 址 ， 都 会 被 认为 列 入 到 了 RBL 中 ， 用 户 将 接 蜗 不 到 
任何 外 部 邮件 。 
由 于 RBL 过 滤 的 匹配 顺序 为 : 本 地 白 名 单 、 本 地 黑 名 单 、 远 程 黑 名 单 》 所 以 
请 确保 白 名单 中 没有 列 入 垃圾 邮件 的 源 地 址 ， 否 则 即使 在 远程 黑 名 单 中 有 
该 地 址 ， 邮 件 不 能 过 滤 。 
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DNS 支 持 是 指 服务 提供 商 为 引导 用 尸 访问 其 增值 站 点 或 合作 站 点 ， 对 DNS 服 务 器 做 修 
改 ， 在 接收 到 一 个 不 存在 结果 的 DNS 碍 询 时 ,， 注 是 返回 一 些 特定 的 |P 地 址 ， 使 用 户 访问 到 
这 些 增 值 闹 扣 。 


必须 使 用 可 以 进行 递归 查询 的 DNS 服 务 器 ， 而 不 是 进行 迭代 查询 的 DNS 服 务 器 。 


RBL 过 滤 故 障 排 除 


。 现象 描述 
o 开局 了 RBL 过 滤 功 能 ， 但 是 用 户 还 是 收 到 大 量 垃 圾 邮件 ，RBL 过 滤 功 能 


失效 。 


Receiver 一、 一 、 


SMTP 服 务 器 
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RBL 过 滤 故 障 排除 思路 


RBL 策 略 未 在 域 问 应 用 或 方向 不 对 
RBL 策 略 关联 锐 误 的 茂 辣 Policy } 

RBL 策 略 配置 为 告警 } 

垃圾 邮件 源 地 址 位 填 白 名 单 中 } 


WW huaAwel 





原因 一 : RBL 配 置 问题 


0 执行 命令 display rbl-filter global-configuration， 查 看 RBL 过 滤 的 启用 状 
太 


性 9 


<USG> display rbl-filter global-configuration x 


RBL filter : Enable 

RBL enabled profile :Pre-define 

RBL server IP address :192.168.1.10, 192.168.1.11 
RBL whitelist : Enable 

RBL blacklist : Disable 


Copyright © 2010 Huawei Technologies Co., Ltd. All rights reserved: Page 61 


注意 RBL 功 能 已 经 黑白 名 单 功能 是 否 开局 ， 使 用 的 是 自 定 义 的 RBL 过 滤 策 略 还 


的 RBL 过 滤 策 略 。 





原因 一 : RBL 配 置 问题 


o 执行 命令 display policy interzone zone1-name zone2-name f 


inbound | outbound }， 查 看 域 间 是 否 应 用 RBL 过 滤 策 略 ， 方 癌 及 关联 
的 策略 是 否 正确 。 


<USG> display policy interzone dmz untrust inbound XX 
policy interzone dmz untrust inbound 

firewall default packet-filter is permit 

policy 0 (49 times matched) 

action permit 

policy service service-set ip 

policy source any 

policy destination any 

policy rbl-filter 
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只 有 苞 配 防火 墙 策 略 并 允许 通过 的 数据 流 才 会 进行 RBL 过 滤 。 注 意 RBL 策 略 应 用 的 方 问 
。 同 一 个 域 加 防火 墙 策略 视图 下 可 配置 多 个 防火 墙 策 略 。 缺 省 情况 下 ， 越 先 配 置 的 策略 ， 
优先 级 越 高 ， 越 先 匹 配 报 文 。 


原因 一 : RBL 配 置 问题 


oO 执行 命令 display rbl-filter pre-define， 查 看 RBL 预 定义 策略 配置 。 


<USG> display rbl-filter pre-define 
Pre-define Profile 


Switch : Enable 


Action : Alert 
Description : Use the default symantec's RBL server. 
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如 果 为 Alerr， 那 么 即使 垃圾 邮件 匹配 到 远程 黑 名 单 ， 还 是 照常 转发 ， 如 果 希 望 拒绝 垃 
圾 邮件 ， 请 将 动作 设置 为 block。 


原因 一 : RBL 配 置 问题 


oO 执行 命令 display rbl-filter whitelist， 查 看 本 地 日 名 单 的 具体 信息 。 


<USG> display rbl-filter whitelist 


RBL whitelist(2): 
IP address Mask 


10.17.1.0 255.255.255.0 
I 255.255.255.0 
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由 于 RBL 过 滤 的 匹配 顺序 为 : 本 地 白 名 单 、 本 地 黑 名 单 、 远 程 黑 名 单 ， 所 以 请 确保 白 
名 单 中 没有 列 入 垃圾 邮件 的 源 地 址 ， 人 否则 即使 在 远程 黑 名 单 中 有 该 地 址 ， 邮 件 不 能 过 滤 。 


原因 二 : RBL 服 务 希 个 可 用 或 不 可 达 


0 执行 命令 display rbl-filter global-configuration ， 查 看 DNS 服务 器 的 IP 地 
址 。 


<USG> display rbl-filter global-configuration 


RBL filter : Enable 

RBL enabled profile :Pre-define 

RBL server IP address  : 192.168.1.10, 192.168.1.11 
RBL whitelist :Enable 

RBL blacklist : Disable 
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必须 使 用 没有 和 伏 PN 劫持 的 DNs 服 务 器 ， 人 否则 所 有 发 送 邮 件 的 产 IP 地 址 ， 都 会 被 认为 
列 入 到 了 RBL 中 ， 用 户 将 接收 不 到 任何 外 部 邮件 。 


DNS 支 持 是 指 服务 提供 两 为 引导 用 忆 访 问 其 增值 站 点 或 合作 站 上 操 ， 对 DNS 服 务 器 做 修 
改 ， 在 接收 到 一 个 不 存在 结果 的 DNS 查 询 时 ， 总 是 返回 一 些 特定 的 IP 地 址 ， 使 用 尸 访问 到 
这 些 增 值 闹 扣 。 


原因 二 : RBL 服 务 怖 不 可 用 或 个 可 这 


0 执行 命令 display policy interzone local untrust outbound ， 查 看 local 


到 外 网 域 间 规则 设置 。 


[USG5560]display policy interzone local untrust outbound 
policy interzone local untrust outbound 
firewall default packet-filteris permit 


o 检查 DNS 服务 器 、RBL 服 务 器 网 络 可 达 性 。 
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。 不 回复 应 答 码 或 回复 的 应 答 码 未 在 USG 上 配 兽 的 情况 下 ， 放 行 邮件 。 


原因 三 : License 不 存在 或 过 期 


oO 执行 命令 display license ， 查 看 license 情 况 。 


[USG]display license 

16:49:27 2011/12/02 

Device ESN is: 210235G6HUZ0B6000028 

The file activated is: hda1:/lic6047002844-aa68d3058e1 usg5560.dat XX 
The time when activated is: 2011/09/30 18:02:39 
IPS: ENABLED 

expire time:9999-12-31. 

Anti Virus: ENABLED 

expire time:9999-12-31. 

URL Filter: ENABLED 

expire time:9999-12-31. 

Anti Spam: ENABLED 

expire time:9999-12-31. 
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License 不 存在 或 者 过 期 ， 将 无 法 使 用 预定 闫 的 RBL 过 滤 。 


案例 : DNS 劫持 导致 接收 不 到 任何 邮件 
Receiver 一、 一 Sender 


一 全 


4 


SMTP 服 务 器 


。 现象 摘 述 
o 用 户 接 收 不 到 任何 外 部 邮件 。 
。 可 能 原因 
o 所 有 发 送 邮件 的 源 IP 地 址 ， 都 会 被 认为 列 入 到 了 ERBL 中 ， 配 置 的 DNS 服 
务 器 不 能 使 用 ， 是 被 劫 持 的 。 
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案例 : DNS 劫持 导致 接收 不 到 任何 邮 
件 


。 处 理 步 又 
o 使 用 RBL 服 务 提供 商 提 供 的 测试 地 址 进行 测试 使 用 RBL 服 务 提 供 商 提供 
的 测试 地 址 进行 测试 ， 预 期 结果 为 : 返回 的 应 答 码 与 RBL 服 务 提供 商 提 
供 的 应 答 码 为 一 致 。 例 如 : cbl.anti-spam.org.cn 提 供 的 测试 地 由 为 
2.0.0.127.cbl.anti-spam.org.cn ， 提 供 的 应 答 码 为 127.0.8.2 ， 要 ; 岂 试 的 
DNS 服务 器 为 165.87.13.129; 


使 用 不 属于 远程 黑 名 单 的 IP 地 址 进行 测试 1.1.1.1 这 个 IP 地 起 s= 般 不 会 被 
列 入 远程 黑 名 单 ， on 预期 结果 为 Non-existent 
domain。 如 果 反 馈 的 不 是 这 个 结果 而 是 iP 地址 ， 表 未 访 DNS 服务 器 被 
动 持 。 
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选择 一 个 合适 的 DNS 服 务 器 IP 地 址 ， 用 于 连接 RBL 服 务 器 进行 正确 的 查询 。 判 断 DNS 服 
务 器 是 否 被 劫持。 根据 RBL 服 务 提供 商 提供 的 测试 地 址 和 不 属于 远程 黑 名 单 的 地 址 分 别 
进行 测试 ， 只 有 两 个 测试 结果 都 符合 预期 ，。 才 表明 DNS 没有 航 支 持 。 


上 网 行为 管理 故障 排除 
:升级 网 站 故障 排除 
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应 用 控制 故障 排除 思路 


9 升级 故障 IOH 存储 空间 不 足 多 令 
时 间 选 择 不 合理 2 


9 配置 问题 I 避 (分 


阻 断 配置 错误 


| 特殊 配置 问题 号 


AS 
心 WW huAwel 
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应 用 控制 故障 排除 步骤 


。 故障 点 一 : 升级 故障 

o 未 配置 DNS: 远程 升级 时 ， 未 配置 DNS 导致 sec.huawei.com 无 法 实现 
地 址 解析 ; 

o 存储 空间 不 足 : 设备 重启 后 ， 无 SA 知识 库 ， 原 因为 使 用 了 update 人 rule: 
base no-save (本 地 升级 ) 进行 升级 ， 知 识 库 在 内 存 中 运行 ， 工 次 重 局 
知识 库 内 容 丢 失 ; 

o 时 间 选 择 不 合理 : 选择 业务 量 大 的 时 间 升 级 ， 会 导致 升级 不 成 芒 。 

。 故障 点 二 : 配置 问题 

o 协议 选择 错误 : 目前 的 SA 知识 库 支 持 21 大 类 协议 集 ， 每 夫 类 协议 集 下 
有 众多 协议 小 类 。 具 体 限制 某 种 网 络 流量 ， 需 与 流量 使 用 的 协议 相关 联 

o 阻 断 配置 错误 : 匹配 协议 后 ， 需 要 执行 阻 断 策略 ， 阻 断 策 略 需要 在 标准 
ACL 中 进行 定义 。 
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应 用 控制 故障 排除 步骤 


。 故障 点 三 : 特殊 配置 问题 
o 大 联 识 别 配置 错误 : 对 于 多 通道 协议 需要 配置 协议 关联 协议 识别 ， 如 
FTP、SIP、H.323 等 ， 
o 全 包 监 测 配置 错误 : 茉 些 协议 的 报 文 是 承载 在 其 他 协议 上 进行 传输 的 ， 
如 MSN 信 息 可 能 通过 HTTP 协 议 承 载 ， 此 时 需 启用 SA 全 包 检 测 功 能 来 
支持 此 类 报 文 的 检测 。 
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。 是 否 需 要 配置 天 联 协 议 识别 或 全 包 监 测 。 可 以 参考 手册 的 “应 用 协议 速 查 表 。 


应 用 控制 故障 排除 FAQ 


。 FAQ-1: SA 文 持 哪些 类 型 协议 的 阻 断 及 限 沉 ? 

o SA 目前 的 特征 文件 版 本 支持 21 大 类 协议 ， 每 大 类 协议 下 有 多 种 具体 的 
协议 : 如 : IM 协 议 ， 下 有 QQ_IM、 MSN_IM/MSN_Transfer、 
YahooMsg_IM 等 ; 具体 情况 请 参考 手册 中 的 应 用 协议 速 查 表 。 4 

。 FAQ-2: 刚 安 洲 后 限 流 效果 较 好 ， 运 行 一 段 时 间 限 流 效果 不 理想 

o 检查 知识 库 文 件 不 是 最 新 ， 多 种 应 用 协议 有 过 和 更新， 知识 库 文 件 版 本 不 
是 最 新 ， 导 致 协议 匹配 不 上 ， 限 流 效 果 不 理想 。 一 般 情况 下 特级 知识 库 
版 本 可 解决 。 

。 FAQ-3: 为 什么 知识 库 升级 不 成 功 ? 

o 升级 服务 器 域名 或 地 址 配置 错误 ; 

o DNS 服务 器 未 配置 或 配置 错误 ; 

o 升级 时 间 选 择 了 业务 高 的 时 间 ， 导 致 下 载 知 识 库 碳 件 失败 ; 

o 存储 空间 不 足 。 
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2 
3 
4. 
5 


6. 上 网 行为 管理 故障 排除 
7. 升级 网 站 故障 排除 
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升级 网 站 故障 排除 思路 





升级 网 站 故障 排 步骤 


。 故障 现象 
D_ USG 可 以 访问 Internet 上 的 安全 服务 中 心 ， 在 线 升 级 IPS、AV 的 过 程 中 


， 终 端 配置 屏幕 上 出 现 以 下 提示 信息 。Error: Interacting with the 
Security server error. XX 


。 可 能 原因 
5 原因 一 : 安全 服务 中 心 域名 配置 错误 。 
0 原因 二 : 未 开局 域名 解析 服务 。 
0 原因 三 : DNS 服务 器 的 IP 地 址 配置 错误 。 
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升级 网 站 故障 排 步 又 


。 处 理 步 又 
0 原因 一 : 安全 服务 中 心 域 名 配置 错误 。 
" 执行 命令 display security server， 查 看 安全 服务 中 心 域名 配置 信息 。 ， 
o 原因 二 : 未 开启 域名 解析 服务 。 \ 


a 执行 命令 display current-configuration | in dns resolve， 查 看 域名 解析 服务 


0 原因 三 : DNS 服务 器 的 IP 地 址 配置 错误 。 
mn 执行 命令 display dns server， 查 看 DNS 服务 器 的 IP 地 址 。 
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。 原因 一 : 安全 服务 中 心 域 名 配置 错误 。 


口 


口 


执行 命令 display security servet 查看 安全 服务 中 心 域名 配置 信息 。 


<USG> display security server Security server : sec.huawei.com URL Filter 
Connection State : 0(0-Disconnected 1-Connecting 2-Connected) 
Security server 字 段 取 值 表示 安全 服务 中 心 的 地 址 。 


从 显示 信息 可 以 看 出 ， 安 全 服务 中 心 的 域名 为 SeC.huawei.com， 请 确认 该 域名 
是 否 正确 。 如 果 正 确 污 执行 原因 二 。 


如 果 错 误 ， 在 系统 视图 下 执行 命令 security server domoain domoain-name 重 新 
配置 。 如 果 故 障 仍 未 排除 ， 请 执行 原因 二 。 


。 原因 二 : 未 开启 域名 解析 服务 。 


口 


口 


执行 命令 glisplay currenf-configurafion | in dns resolve 查看 域名 解析 服务 。 


<USG> displgay current-configuration | in dns resolve dns resolve 如 果 输 出 
没有 人 包含 “dns resolve” 表 示 域 名 解析 服务 器 未 开启; 如 果 输 出 包含 “dns 
reselve” 表 示 域 名 解析 服务 已 开启 。 


从 显示 信息 可 以 看 出 ， 域 名 解析 服务 已 经 开局 ， 请 执行 原因 三 ， 继 续 进行 故障 排 
际 。 


如 果 DNS 解 析 功 能 未 启用 ， 请 启用 。 
在 系统 视图 下 执行 命令 dnsresolve 启用 DNS 解 析 功 能 。 


<USG> system-view [USGI| dns resolye 


总 结 


UTM 整 体 失 效 排查 步骤? 

IPS 弟 见 故障 排除 思路 及 步骤 ? 

AV 常 见 故障 排除 思路 及 步骤 ? 

URL 过 滤 常 见 故障 排 际 思路 及 步骤 ? 
RBL 过 滤 常 见 故障 排除 思路 及 步骤? 
应 用 控制 常见 故障 排除 及 思路 ? 
升级 网 六 故障 排除 及 步骤 ? 
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1.， 配置 IPS 签 名 集 ， 当 有 选项 开局 了 但 没有 指定 具体 的 值 ， 则 该 签名 集 包 
含 所 有 签名 。 


。 多 选 题 X 


1. 与 PS 策略 相关 的 以 下 修改 需要 提交 编译 后 才 生 效 ? 
、 增 加 、 删 除 、 修 改 签 名 


A 

B、 增 加 、 删 除 、 修 改 覆 盖 签 名 
C、 删 除 、 修 改 自 定义 签名 

D、 在 域 间 重新 应 用 IPS 策 略 
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。 习题 与 答案 : 


D 配置 IP> 等 名 集 ， 当 有 选项 开局 了 但 没有 指定 具体 的 值 ， 则 该 签名 集 包 含 所 有 签名 
多 安 对 辣 


合 才 . 刘 话 
5 与 PS 策略 相关 的 以 下 修改 需要 提交 编译 后 才 生 效 ? 
人 A、 增加 、 删 除 、 修 改 签名 
B、 增 加 、 删 除 、 修 改 和 覆盖 签名 
C、 删 除 、 修 改 自 定义 签名 
D、 在 域 间 重 新 应 用 [PS 策略 
答案 : AX BC 





华为 职业 认证 通过 者 权益 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hffp;//leQming.huawei.com/cn) 享有 如 下 特权 : 
。 1、 华 为 E-learning 课程 学 习 
o 内容: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “email 地 址 ”到 LeQ/ming@huawei.com 有 内 坊 权 鹿 。 
华为 培训 教材 下 载 
o 内容: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企 业 网 络 、 存 储 、 安全 等 诸多 si 
0 方式: 登录 华为 在 缮 学 习 度 站 ， 进 入 “华为 姐 加 -> 面 要 坟 加 ， 在 具体 课程 页 面 即 可 下 载 教 树 。 
华为 在 线 公 开课 (LYVC) 优 先 参与 
内 容 : 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 邢 班 大 数 有 限 
方式 : 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.huawei.com/learning/NavigationAction!IcreateNavi#ravilid]=_16 
学 习 工 具 eNSP 
o EeNSP /Enterorise Network Simulation Platformj, 是 由 华为 提供 的 免费 的 妨 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真 器 设备 实景 ， 同 时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考 试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_(〈hitp://suppor,huawei.conYyecemmunify/bbs/lisft 2247.html ) 
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